CISA опубликовала отчеты о различных вредоносных веб-оболочках JSP (и одном файле bash), обнаруженных на серверах Zimbra.
Все образцы были подтверждены как вредоносные, с различными возможностями. Шесть файлов веб-оболочки JSP предназначены для анализа входящих запросов на команды для выполнения, загрузки файлов и выгрузки файлов. Один файл JSP webshell содержит форму с полями ввода, которая предлагает злоумышленнику ввести команду в поле ввода и нажать кнопку "run" для выполнения. Вывод команды будет отображен на странице JSP. Файл bash предназначен для выполнения запросов ldapsearch и сохранения результатов во вновь созданной директории. Наконец, один JSP-файл представляет собой код на стороне сервера, который позволяет удаленно выполнять команды и загружать файлы на цель.
Рекомендации CISA для пользователей и администраторов серверов Zimbra можно найти в конце каждой статьи со ссылками.
Indicators of Compromise
MD5
- 0751fbc32ada4ded129a15a0d1ea0459
- 2847c3be246be1dfd49789ebbffd5553
- 36cfcfb4e6988caf8e449a7f26c92eae
- 55e51e8ceda717813a5223a8c99a8830
- 6f1c2dd27e28a52eb09cdd2bc828386d
- 7153cfe57d2df499175aced7e92bcf65
- 91de296c801db00a24a2832b5e12d345
- ab28345b8aba13ae82f8bc0694f15804
- e146561122214f67eb35c52758a21fa5
SHA1
- 010aee65009b9faeb3a4e24ca777d3aaa51b0bd3
- 275774dbfc8c1e8a95dcd2f0d589db1ab369eb01
- 515451cea6e3550df74f54eb4d6f1706de100a3f
- 6c484d46637cb3a9c4a5f0b42bff388c7b550b6d
- a1e0297b1195fad89eb500d43e860c3beae90840
- af9bc7ef25755982a00aca920ee7ad51f76c5cc2
- b2c45a12c6ead4d9dc9902a93c2e1e45c20a16d9
- cd2e32eab50da45f747a02cacaa8f91da8d3da98
- e8262b4808896297366d87fb0d88fa7292f532fa
SHA256
- 28b7896bf81c5bcbe63c59ee7bfce3893894d93699949f59884834077694bd52
- 6dee4a1d4ac6b969b1f817e36cb5d36c5de84aa8fe512f3b6e7de80a2310caea
- 9d2a842e7a39358adc68311dcc0bc550ba375eae7513a3d4de326e948d09c245
- bc5b1f588cd506a69c03a7980a363846fa474b78e6946fa90e58d735c65f2bb6
- c24ead55e58422365f034d173bb0415c16be78928b2843ef8f6f62feb15e1553
- c602db153f48ab6580e5e85925677780c3d5a483c66c392a8ab8265aa108a409
- c8c1a0fae73b578480b15ff552499c271a1b49f7af2fb9fc7f8adaa4e984f614
- d335d7e3a0ac77e132e9ea839591fa81f67cd8eef136ec6586a1d6b1f29e18f1
- ffb0f637776bc4cfcf5a24406ebf48fc21b9dcec68587a010f21b88250bda195