Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Trustwave avverte di un notevole aumento nello sfruttamento attivo di una vulnerabilità corretta in Apache ActiveMQ per fornire la web shell Godzilla agli host compromessi.
Le web shell sono nascoste in un formato binario sconosciuto e sono progettate per aggirare i sistemi di sicurezza e gli scanner basati sulle firme. È interessante notare che, nonostante il formato di file binario sconosciuto, il motore JSP ActiveMQ continua a compilare ed eseguire la shell web.
Il CVE-2023-46604 ( punteggio CVSS : 9,8) in Apache ActiveMQ consente l’esecuzione di codice remoto (RCE). Dalla sua divulgazione pubblica alla fine di ottobre 2023, il bug è stato attivamente sfruttato da numerosi aggressori. I criminali hanno utilizzato la webshell per distribuire ransomware, rootkit, minatori di criptovaluta e botnet DDoS.
Nell’ultima serie di intrusioni rilevate da Trustwave, le istanze vulnerabili sono state attaccate da shell Web basate su JSP (Java Server Pages). Erano ospitate nella cartella “admin” della directory di installazione di ActiveMQ.
La web shell, chiamata Godzilla, è una backdoor ricca di funzionalità in grado di analizzare le richieste HTTP POST in entrata. Inoltre consente di eseguire codice e restituire i risultati come risposta HTTP.
I file dannosi sono particolarmente noti perché il codice JSP è nascosto all’interno di un file binario di tipo sconosciuto. Questo metodo consente di aggirare le misure di sicurezza evitando il rilevamento durante la scansione. Uno sguardo più attento alla catena di attacco rivela che il codice della web shell viene convertito in codice Java. Questo avviene prima di essere eseguito dal motore servlet di Jetty (componenti software che estendono la funzionalità di un server web).
Il payload JSP consente infine al criminale informatico di connettersi a una shell web tramite l’interfaccia utente di gestione di Godzilla. Ottiene così il pieno controllo sull’host di destinazione, facilitando l’esecuzione di comandi shell arbitrari, visualizzando informazioni di rete ed eseguendo operazioni di gestione dei file.
Si consiglia vivamente agli utenti di Apache ActiveMQ di eseguire l’aggiornamento alla versione più recente il prima possibile per ridurre al minimo le potenziali minacce.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]