Siber güvenlik araştırmacıları, tehlikeli ana bilgisayarlara Godzilla web kabuğunu sunmak için Apache ActiveMQ’daki yamalanmış bir kusurdan aktif olarak yararlanan tehdit aktörlerinin faaliyetlerinde “dikkate değer bir artış” olduğu konusunda uyarıda bulunuyor.
Trustwave, “Web kabukları bilinmeyen bir ikili formatta gizlenmiş durumda ve güvenlik ile imza tabanlı tarayıcılardan kaçmak için tasarlandı.” söz konusu. “İkili dosyanın bilinmeyen dosya formatına rağmen ActiveMQ’nun JSP motoru web kabuğunu derlemeye ve yürütmeye devam ediyor.”
CVE-2023-46604 (CVSS puanı: 10.0), Apache ActiveMQ’da uzaktan kod yürütülmesine olanak tanıyan ciddi bir güvenlik açığını ifade eder. Ekim 2023’ün sonlarında kamuya açıklanmasından bu yana, fidye yazılımı, rootkit’ler, kripto para madencileri ve DDoS botnet’lerini dağıtmak için birden fazla düşman tarafından aktif olarak istismar edildi.
Trustwave tarafından gözlemlenen en son izinsiz giriş setinde, duyarlı örnekler ActiveMQ kurulum dizininin “admin” klasörüne yerleştirilen JSP tabanlı web kabukları tarafından hedef alınmıştır.
Adlandırılmış web kabuğu Godzillabir işlevsellik açısından zengin arka kapı Gelen HTTP POST isteklerini ayrıştırabilir, içeriği yürütebilir ve sonuçları bir HTTP yanıtı biçiminde döndürebilir.
Güvenlik araştırmacısı Rodel Mendrez, “Bu kötü amaçlı dosyaları özellikle dikkate değer kılan şey, JSP kodunun bilinmeyen bir ikili dosya türünde nasıl gizlenmiş gibi görünmesidir” dedi. “Bu yöntem, tarama sırasında güvenlik uç noktaları tarafından tespit edilmekten kaçınarak güvenlik önlemlerini aşma potansiyeline sahiptir.”
Saldırı zincirinin daha yakından incelenmesi, web kabuk kodunun Jetty Servlet Engine tarafından yürütülmeden önce Java koduna dönüştürüldüğünü gösterir.
JSP yükü sonuçta tehdit aktörünün Godzilla yönetimi kullanıcı arayüzü aracılığıyla web kabuğuna bağlanmasına ve hedef ana bilgisayar üzerinde tam kontrol sahibi olmasına olanak tanıyarak keyfi kabuk komutlarının yürütülmesini, ağ bilgilerinin görüntülenmesini ve dosya yönetimi işlemlerinin yürütülmesini kolaylaştırır.
Potansiyel tehditleri azaltmak için Apache ActiveMQ kullanıcılarının mümkün olan en kısa sürede en son sürüme güncellemeleri önemle tavsiye edilir.
