محققین امنیتی در خصوص افزایش قابل توجه فعالیت مخرب و بهره برداری از آسیب پذیری اخیر Apache ActiveMQ که وصله آن نیز منتشر شده است، هشدار داده اند، با بهره برداری از این آسیب پذیری Godzilla Web Shell روی میزبان آسیب پذیر قرار می گیرد.
به گفته محققین Web Shellها در یک قالب باینری ناشناخته پنهان شده و برای فرار از اسکنرهای امنیتی و مبتنی بر امضا طراحی شده اند. قابل ذکر است با وجود فرمت فایل ناشناخته باینری، موتور JSP ActiveMQ به کامپایل و اجرای web shell ادامه می دهد.
آسیب پذیری CVE-2023-64406 با امتیاز 10 یک آسیب پذیری در Apache ActiveMQ است که امکان اجرای کد از راه دور را به مهاجم میدهد. از زمان شناسایی این آسیب پذیری در اواخر اکتبر 2023، مهاجمان در حال بهره برداری از آن برای نصب باج افزار، روت کیت و ماینر و بات نت هستند.
در جدیدترین مجموعه نفوذ بررسی شده توسط Trustwave، نمونه های حساس توسط web shellهای مبتنی بر JSP که در پوشه “admin” دایرکتوری ActiveMQ قرار گرفته اند، هدف قرار گرفته اند.
Godzilla، یک backdoor حرفه ای بوده که میتواند درخواستهای HTTP POST ورودی را تجزیه کرده، محتوا را اجرا کند و نتایج را در قالب یک پاسخ HTTP برگرداند. به گفته محققان امنیتی آنچه این فایلهای مخرب را به طور خاص، قابل توجه میکند این است که چگونه کد JSP در یک نوع ناشناخته باینری پنهان شده است. این روش پتانسیل دور زدن اقدامات امنیتی را دارد و از شناسایی توسط اندپوینتهای امنیتی سنتی و مبتنی بر امضا در حین اسکن جلوگیری می کند. با بررسی جزیی تر زنجیره حملات، مشخص شده است که کد web shell قبل از اجرا توسط موتور Jetty Servlet به کد جاوا تبدیل می شود.
JSP payload به صورت نامحدود به مهاجم امکان اتصال به web shell از طریق رابط کاربری مدیریت Godzilla، کنترل کامل میزبان هدف، قابلیت اجرای دستورات دلخواه، مشاهده اطلاعات شبکه و کنترل عملیات مدیریت فایل را میدهد.
به کاربران این محصولات توصیه اکید می شود که سیستم های خود را در اسرع وقت به آخرین ورژن ارتقا دهند.
مایکروسافت ابزاری برای حذف درایور معیوب CrowdStrike در ویندوز منتشر کرد.
جولای 22, 2024
بدون دیدگاه
