Trustwave警告称,利用Apache ActiveMQ 中已修补的漏洞向受感染主机传送Godzilla Web shell 的活动显着增加。
Web shell 以未知的二进制格式隐藏,旨在绕过安全系统和基于签名的扫描程序。值得注意的是,尽管二进制文件格式未知,ActiveMQ JSP 引擎仍继续编译并执行 Web shell。
Apache ActiveMQ 中的CVE-2023-46604 (CVSS 评分 :9.8)允许远程代码执行 ( RCE )。自 2023 年 10 月下旬公开披露以来,该漏洞已被多个攻击者积极利用来部署勒索软件、rootkit、加密货币挖矿程序和 DDoS 僵尸网络。
在 Trustwave 检测到的最新一组入侵中,易受攻击的实例受到基于 JSP(Java Server Pages)的 Web shell 的攻击,这些 Web shell 托管在 ActiveMQ 安装目录的“admin”文件夹中。该 Web shell 称为 Godzilla ,是一个功能丰富的后门,能够解析传入的 HTTP POST 请求、执行内容并将结果作为 HTTP 响应返回。
这些恶意文件尤其值得注意,因为 JSP 代码隐藏在未知类型的二进制文件中。此方法通过避免扫描过程中的检测来帮助绕过安全措施。仔细观察攻击链可以发现,Web shell 代码在由 Jetty 的 servlet 引擎(扩展 Web 服务器功能的软件组件)执行之前会先转换为 Java 代码。
JSP有效负载最终允许网络犯罪分子通过Godzilla管理用户界面连接到Web shell并获得对目标主机的完全控制,从而方便执行任意shell命令、查看网络信息以及执行文件管理操作。强烈建议 Apache ActiveMQ 用户尽快更新到最新版本,以最大程度地减少潜在威胁。
发表评论
您还未登录,请先登录。
登录