Les chercheurs en cybersécurité mettent en garde contre une « augmentation notable » de l’activité des acteurs malveillants exploitant activement une faille désormais corrigée dans Apache ActiveMQ pour diffuser le shell Web Godzilla sur des hôtes compromis.
« Les shells Web sont dissimulés dans un format binaire inconnu et sont conçus pour échapper aux scanners de sécurité et basés sur les signatures », Trustwave dit. « En dépit du format de fichier inconnu du binaire, le moteur JSP d’ActiveMQ continue de compiler et d’exécuter le shell Web. »
CVE-2023-46604 (score CVSS : 10,0) fait référence à une vulnérabilité grave dans Apache ActiveMQ qui permet l’exécution de code à distance. Depuis sa divulgation publique fin octobre 2023, il a été activement exploité par plusieurs adversaires pour déployer des ransomwares, des rootkits, des mineurs de cryptomonnaie et des botnets DDoS.
Dans le dernier ensemble d’intrusions observé par Trustwave, des instances sensibles ont été ciblées par des shells Web basés sur JSP qui sont implantés dans le dossier « admin » du répertoire d’installation d’ActiveMQ.
Le shell Web, nommé Godzillaest un porte dérobée riche en fonctionnalités capable d’analyser les requêtes HTTP POST entrantes, d’exécuter le contenu et de renvoyer les résultats sous la forme d’une réponse HTTP.
« Ce qui rend ces fichiers malveillants particulièrement remarquables, c’est la façon dont le code JSP semble être dissimulé dans un type inconnu de binaire », a déclaré le chercheur en sécurité Rodel Mendrez. « Cette méthode a le potentiel de contourner les mesures de sécurité, en échappant à la détection par les points finaux de sécurité lors de l’analyse. »
Un examen plus approfondi de la chaîne d’attaque montre que le code du shell Web est converti en code Java avant son exécution par le moteur de servlet Jetty.
La charge utile JSP permet finalement à l’acteur malveillant de se connecter au shell Web via l’interface utilisateur de gestion de Godzilla et d’obtenir un contrôle complet sur l’hôte cible, facilitant ainsi l’exécution de commandes shell arbitraires, l’affichage des informations sur le réseau et la gestion des opérations de gestion de fichiers.
Il est fortement recommandé aux utilisateurs d’Apache ActiveMQ de mettre à jour vers la dernière version dès que possible afin d’atténuer les menaces potentielles.