Vulnerabilità in Apache ActiveMQ Sfruttata nelle Nuove Attività del Web Shell Godzilla
I recenti avvertimenti dei ricercatori di sicurezza mettono in evidenza un aumento significativo dell’attività da parte di attori minacciosi che sfruttano attivamente una vulnerabilità, ora corretta, in Apache ActiveMQ. La minaccia principale è rappresentata dal web shell Godzilla, che viene utilizzato per compromettere gli host.
Le web shell, nascoste in un formato binario sconosciuto, sono progettate per eludere la rilevazione di scanner basati su firme e sicurezza. Nonostante il formato binario sconosciuto, il motore JSP di ActiveMQ continua a compilare ed eseguire la web shell, rendendo l’attacco particolarmente insidioso.
La vulnerabilità in questione, identificata come CVE-2023-46604 con un punteggio CVSS di 10.0, apre la porta a un’ampia gamma di minacce, dall’esecuzione remota di codice al deployment di ransomware, rootkit, miner di criptovalute e botnet DDoS. Questo, dopo essere stato pubblicamente annunciato alla fine di ottobre 2023, ha visto un attivo sfruttamento da parte di vari attori malevoli.
In recenti casi di intrusioni osservate da Trustwave, le web shell basate su JSP hanno colpito le istanze vulnerabili, nascondendosi nella cartella “admin” della directory di installazione di ActiveMQ.
La web shell, denominata Godzilla, è un backdoor avanzato che analizza le richieste HTTP POST in arrivo, esegue il contenuto e restituisce i risultati in forma di risposta HTTP. Ciò che rende questo attacco particolarmente problematico è il modo in cui il codice JSP è nascosto all’interno di un formato binario sconosciuto, sfidando la rilevazione durante la scansione di sicurezza.
L’analisi dell’attacco rivela che il codice della web shell viene convertito in codice Java prima dell’esecuzione, grazie al Jetty Servlet Engine.
Il payload JSP permette agli attori minacciosi di connettersi alla web shell tramite l’interfaccia utente di gestione di Godzilla, ottenendo il controllo totale sull’host di destinazione. Ciò consente l’esecuzione di comandi shell arbitrari, la visualizzazione delle informazioni di rete e la gestione dei file.
Gli utenti di Apache ActiveMQ sono fortemente consigliati ad aggiornare alla versione più recente il prima possibile per mitigare potenziali minacce. La sicurezza delle infrastrutture è fondamentale per proteggere gli ambienti digitali da attacchi sofisticati come questo.