Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 22 Gennaio 2024 10:45
Trustwave avverte di un notevole aumento nello sfruttamento attivo di una vulnerabilità corretta in Apache ActiveMQ per fornire la web shell Godzilla agli host compromessi.
Le web shell sono nascoste in un formato binario sconosciuto e sono progettate per aggirare i sistemi di sicurezza e gli scanner basati sulle firme. È interessante notare che, nonostante il formato di file binario sconosciuto, il motore JSP ActiveMQ continua a compilare ed eseguire la shell web.
Il CVE-2023-46604 ( punteggio CVSS : 9,8) in Apache ActiveMQ consente l’esecuzione di codice remoto (RCE). Dalla sua divulgazione pubblica alla fine di ottobre 2023, il bug è stato attivamente sfruttato da numerosi aggressori. I criminali hanno utilizzato la webshell per distribuire ransomware, rootkit, minatori di criptovaluta e botnet DDoS.
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Nell’ultima serie di intrusioni rilevate da Trustwave, le istanze vulnerabili sono state attaccate da shell Web basate su JSP (Java Server Pages). Erano ospitate nella cartella “admin” della directory di installazione di ActiveMQ.
La web shell, chiamata Godzilla, è una backdoor ricca di funzionalità in grado di analizzare le richieste HTTP POST in entrata. Inoltre consente di eseguire codice e restituire i risultati come risposta HTTP.
I file dannosi sono particolarmente noti perché il codice JSP è nascosto all’interno di un file binario di tipo sconosciuto. Questo metodo consente di aggirare le misure di sicurezza evitando il rilevamento durante la scansione. Uno sguardo più attento alla catena di attacco rivela che il codice della web shell viene convertito in codice Java. Questo avviene prima di essere eseguito dal motore servlet di Jetty (componenti software che estendono la funzionalità di un server web).
Il payload JSP consente infine al criminale informatico di connettersi a una shell web tramite l’interfaccia utente di gestione di Godzilla. Ottiene così il pieno controllo sull’host di destinazione, facilitando l’esecuzione di comandi shell arbitrari, visualizzando informazioni di rete ed eseguendo operazioni di gestione dei file.
Si consiglia vivamente agli utenti di Apache ActiveMQ di eseguire l’aggiornamento alla versione più recente il prima possibile per ridurre al minimo le potenziali minacce.
RedazioneIl 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...
Ancora non sono chiari i motivi che hanno causato un grave Blackout in Spagna e Portogallo nelle ultime ore. Vaste aree sono rimaste senza energia elettrica, scatenando un’ondata di speculazion...
Un’improvvisa e massiccia interruzione di corrente ha colpito la Penisola Iberica, gettando vaste zone di Spagna e Portogallo al buio e causando significative interruzioni alle infras...
Il report DarkMirror Q1 2025 di DarkLab, il laboratorio di Cyber Threat Intelligence di Red Hot Cyber, offre un’analisi dettagliata dell’evoluzione del ransomware in Italia e nel mondo. ...
Lo sviluppo di supercomputer per l’intelligenza artificiale sta entrando in una nuova orbita: in termini di scala, costi e consumi energetici e infrastrutture e megaprogetti. Uno studio condott...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
