{"id":1112194,"date":"2024-01-22T03:16:37","date_gmt":"2024-01-22T05:16:37","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-faille-apache-activemq-exploitee-dans-les-nouvelles-attaques-godzilla-web-shell\/"},"modified":"2024-01-22T03:16:41","modified_gmt":"2024-01-22T05:16:41","slug":"une-faille-apache-activemq-exploitee-dans-les-nouvelles-attaques-godzilla-web-shell","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-faille-apache-activemq-exploitee-dans-les-nouvelles-attaques-godzilla-web-shell\/","title":{"rendered":"Une faille Apache ActiveMQ exploit\u00e9e dans les nouvelles attaques Godzilla Web Shell"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>22 janvier 2024<\/span>\ue804<\/i>R\u00e9daction<\/span><\/span>Vuln\u00e9rabilit\u00e9 \/ Logiciel malveillant<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Les chercheurs en cybers\u00e9curit\u00e9 mettent en garde contre une \u00ab augmentation notable \u00bb de l’activit\u00e9 des acteurs malveillants exploitant activement une faille d\u00e9sormais corrig\u00e9e dans Apache ActiveMQ pour diffuser le shell Web Godzilla sur des h\u00f4tes compromis.<\/p>\n

“Les shells Web sont dissimul\u00e9s dans un format binaire inconnu et sont con\u00e7us pour \u00e9chapper aux scanners de s\u00e9curit\u00e9 et bas\u00e9s sur les signatures”, Trustwave dit<\/a>. “En d\u00e9pit du format de fichier inconnu du binaire, le moteur JSP d’ActiveMQ continue de compiler et d’ex\u00e9cuter le shell Web.”<\/p>\n

CVE-2023-46604 (score CVSS\u00a0: 10,0) fait r\u00e9f\u00e9rence \u00e0 une vuln\u00e9rabilit\u00e9 grave dans Apache ActiveMQ qui permet l’ex\u00e9cution de code \u00e0 distance. Depuis sa divulgation publique fin octobre 2023, il a \u00e9t\u00e9 activement exploit\u00e9 par plusieurs adversaires pour d\u00e9ployer des ransomwares, des rootkits, des mineurs de cryptomonnaie et des botnets DDoS.<\/p>\n

\"La<\/a><\/center><\/div>\n

Dans le dernier ensemble d’intrusions observ\u00e9 par Trustwave, des instances sensibles ont \u00e9t\u00e9 cibl\u00e9es par des shells Web bas\u00e9s sur JSP qui sont implant\u00e9s dans le dossier \u00ab admin \u00bb du r\u00e9pertoire d’installation d’ActiveMQ.<\/p>\n

Le shell Web, nomm\u00e9 Godzilla<\/a>est un porte d\u00e9rob\u00e9e riche en fonctionnalit\u00e9s<\/a> capable d’analyser les requ\u00eates HTTP POST entrantes, d’ex\u00e9cuter le contenu et de renvoyer les r\u00e9sultats sous la forme d’une r\u00e9ponse HTTP.<\/p>\n

“Ce qui rend ces fichiers malveillants particuli\u00e8rement remarquables, c’est la fa\u00e7on dont le code JSP semble \u00eatre dissimul\u00e9 dans un type inconnu de binaire”, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Rodel Mendrez. “Cette m\u00e9thode a le potentiel de contourner les mesures de s\u00e9curit\u00e9, en \u00e9chappant \u00e0 la d\u00e9tection par les points finaux de s\u00e9curit\u00e9 lors de l’analyse.”<\/p>\n

Un examen plus approfondi de la cha\u00eene d’attaque montre que le code du shell Web est converti en code Java avant son ex\u00e9cution par le moteur de servlet Jetty.<\/p>\n

\"La<\/a><\/center><\/div>\n

La charge utile JSP permet finalement \u00e0 l’acteur malveillant de se connecter au shell Web via l’interface utilisateur de gestion de Godzilla et d’obtenir un contr\u00f4le complet sur l’h\u00f4te cible, facilitant ainsi l’ex\u00e9cution de commandes shell arbitraires, l’affichage des informations sur le r\u00e9seau et la gestion des op\u00e9rations de gestion de fichiers.<\/p>\n

Il est fortement recommand\u00e9 aux utilisateurs d’Apache ActiveMQ de mettre \u00e0 jour vers la derni\u00e8re version d\u00e8s que possible afin d’att\u00e9nuer les menaces potentielles.<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n