A kiberbiztonsági kutatók arra figyelmeztetnek, hogy “jelentősen megnövekedett” az Apache ActiveMQ most javított hibájának aktív kihasználása. A támadók a Godzilla web shell-t juttatják el a veszélyeztetett gépekre.
“A web shell-eket egy ismeretlen bináris formátumban rejtik el, és úgy tervezték, hogy kikerüljék a biztonsági és aláírás alapú szkennereket” – mondta a Trustwave. “Figyelemre méltó, hogy a bináris ismeretlen fájlformátuma ellenére az ActiveMQ JSP motorja továbbra is lefordítja és végrehajtja azokat”.
A CVE-2023-46604 (CVSS: 10.0) az Apache ActiveMQ-ban található súlyos sebezhetőség, amely távoli kódfuttatást tesz lehetővé. A 2023. október végi nyilvánosságra hozatala óta több csoport is aktívan kihasználja a hibát zsarolóprogramok, rootkitek, kriptopénz bányász botok és DDoS botnetek telepítéséhez.
A Godzilla nevű web shell egy funkcionalitásban gazdag backdoor, amely képes a bejövő HTTP POST kérések elemzésére, a tartalom végrehajtására és az eredmények HTTP válasz formájában történő visszaküldésére.
“Ami ezeket a rosszindulatú fájlokat különösen figyelemre méltóvá teszi, az az, hogy a JSP kód látszólag egy ismeretlen típusú bináris állományba van elrejtve” – mondta Rodel Mendrez biztonsági kutató. “Ez a módszer alkalmas arra, hogy megkerülje a biztonsági intézkedéseket, elkerülve a biztonsági végpontok általi észlelést.”
A támadási lánc közelebbi vizsgálata azt mutatja, hogy a web shell kódot Java kóddá alakítják át, mielőtt a Jetty Servlet Engine végrehajtaná.
A JSP payload végül lehetővé teszi a támadók számára, hogy a Godzilla kezelő felhasználói felületen keresztül csatlakozzon a web shell-hez, és teljes irányítást szerezzen a célállomás felett, megkönnyítve tetszőleges shell parancsok végrehajtását, hálózati információk megtekintését és fájlkezelési műveletek kezelését.
Az Apache ActiveMQ felhasználóinak erősen ajánlott a lehető leghamarabb frissíteni a legújabb verzióra a potenciális fenyegetések mérséklése érdekében.
