Կիբերանվտանգության ոլորտի փորձագետները նախազգուշացնում են հաքերական խմբի հերթական հարձակվողական գործունեության «զգալի աճի» մասին, որն ակտիվորեն օգտագործում է Apache ActiveMQ-ի խոցելիությունը՝ Godzilla-ի web shell-ը վտանգված հոսթերներում տեղակայելու համար:
CVE-2023-46604-ը (CVSS կատալոգում միավորը՝ 10.0) վերաբերում է Apache ActiveMQ-ի կրիտիկական խոցելիությանը, որը remote code-ի կատարման հնարավորութուն է տալիս հաքերին: 2023 թվականի հոկտեմբերի վերջին իրականացված հրապարակային բացահայտումից ի վեր, այն հայտնվել է ակտիվ շահագործման տակ որի նպատակը ransomware-երի, rootkit-ն, cryptocurrency miner-երի և DDoS botnet-ների տեղակայաումն է:
Godzilla կոչվող web shell-ը functionality-rich backdoor է և կարող է վերլուծել inbound HTTP POST հարցումները, գործարկել բովանդակությունը և արդյունքները վերադարձնել HTTP պատասխանի տեսքով:
«Այն, ինչը սա ուշագրավ է դարձնում, հետևյալն է, որ JSP կոդը թաքնված անհայտ տեսակի binary-իի մեջ», – նշում է անվտանգության գծով փորձագետ՝ Ռոդել Մենդրեսը:
«Այս մեթոդն ունի անվտանգության պատնեշները շրջանցելու մեծ պոտենցյալ՝ խուսափելով վերջնական հայտնաբերումից»:
Հարձակման շղթայի ավելի մանրամասն ուսումնասիրությունը ցույց է տալիս, որ web shell code-ը մինչև Jetty Servlet Engine-ի կողմից դրա կատարումը վերածվում է Java կոդի:
Apache ActiveMQ-ի օգտատերերին խորհուրդ է տրվում հնարավորինս արագ թարմացնել ծրագիրը և անցնել վերջին տարբերակը՝ հնարավոր ռիսկերը մեղմելու համար:
Աղբյուրը՝ https://thehackernews.com/
