HackerNews 编译,转载请注明出处:
网络安全研究人员警告称,存在一种“显著增加”的网络威胁行为,其通过积极利用 Apache ActiveMQ 中一个现已修复的漏洞,在受感染的主机上部署 Godzilla Web Shell。
“这些 Web Shell 被隐藏在未知的二进制格式中,旨在规避安全和基于签名的扫描器” ,Trustwave 表示。“值得注意的是,尽管二进制文件格式未知,但 ActiveMQ 的 JSP 引擎仍然继续编译和执行 Web Shell。”
CVE-2023-46604(CVSS 分数:10.0)是指 Apache ActiveMQ 中的一种严重漏洞,可实现远程代码执行。自 2023 年 10 月底公开披露以来,已有多个对手积极利用该漏洞部署勒索软件、rootkit、加密货币挖矿程序和 DDoS 僵尸网络。
在 Trustwave 观察到的最新入侵集合中,易受攻击的实例成为基于 JSP 的 Web Shell 的目标,这些 Web Shell 被植入到 ActiveMQ 安装目录的“admin”文件夹中。
这个名为 Godzilla 的 Web Shell 是一个功能丰富的后门,能够解析传入的 HTTP POST 请求、执行内容,并以 HTTP 响应的形式返回结果。
“这些恶意文件引人注目的地方在于,JSP 代码似乎被隐藏在一种未知类型的二进制中” ,安全研究员 Rodel Mendrez 表示。“这种方法有可能绕过安全措施,在扫描期间避免被安全端点检测到。”
对攻击链的更仔细审查显示,Web Shell 代码在被 Jetty Servlet 引擎执行之前被转换成 Java 代码。
JSP 负载最终允许黑客通过 Godzilla 管理用户界面连接到 Web Shell,并完全控制目标主机,便于执行任意 Shell 命令、查看网络信息以及处理文件管理操作。
强烈建议使用 Apache ActiveMQ 的用户尽快升级到最新版本,以降低潜在的威胁。
消息来源:thehackernews,译者:Claire;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
暂无评论内容