Хакеры используют новый вид атак через ошибку Apache ActiveMQ использующую веб оболочку Godzilla

Ошибка Apache ActiveMQ, используемая в новых атаках веб-оболочки Godzilla Новости

Текст: Исследователи в области кибербезопасности предупреждают о “заметном увеличении” активности хакеров, активно эксплуатирующих устраненную уязвимость в Apache ActiveMQ для размещения веб-оболочки Godzilla на компрометированных хостах.

“Веб-оболочки скрыты в неизвестном бинарном формате и созданы для обхода средств безопасности и сканеров, работающих на основе сигнатур”, отмечает Trustwave. “Интересно, что несмотря на неизвестный формат файла, JSP-движок ActiveMQ продолжает компилировать и выполнять веб-оболочку.”

CVE-2023-46604 (рейтинг CVSS: 10.0) относится к серьезной уязвимости в Apache ActiveMQ, позволяющей удаленное выполнение кода. С момента ее публичного раскрытия в конце октября 2023 года она активно используется несколькими злоумышленниками для развертывания вымогательского программного обеспечения, руткитов, криптовалютных майнеров и ботсетей DDoS.

В последней серии атак, замеченной Trustwave, уязвимые экземпляры подверглись атакам с использованием веб-оболочек на основе JSP, размещенных в каталоге установки ActiveMQ под названием “admin”.

Веб-оболочка, названная Godzilla, представляет собой функционально насыщенный задний проход, способный анализировать входящие HTTP POST-запросы, выполнять содержимое и возвращать результаты в виде HTTP-ответа.

“Что делает эти вредоносные файлы особенно заметными, так это то, что код JSP кажется скрытым в неизвестном типе бинарного файла”, отмечает исследователь по безопасности Родель Мендрез. “Этот метод имеет потенциал обойти средства безопасности, избегая обнаружения на этапе сканирования.”

Ближайший анализ цепочки атак показывает, что код веб-оболочки преобразуется в код Java перед выполнением Jetty Servlet Engine.

Итоговая нагрузка JSP позволяет злоумышленнику подключаться к веб-оболочке через пользовательский интерфейс управления Godzilla и получать полный контроль над целевым хостом, облегчая выполнение произвольных команд оболочки, просмотр сетевой информации и выполнение операций управления файлами.

Пользователям Apache ActiveMQ настоятельно рекомендуется обновиться до последней версии как можно скорее для снижения возможных угроз.

admin
Оцените автора
NIBBL
Добавить комментарий