Los investigadores de ciberseguridad están emitiendo una advertencia sobre un aumento significativo en la actividad de actores de amenazas que están explotando una vulnerabilidad en Apache ActiveMQ para entregar la shell web Godzilla en hosts comprometidos. La vulnerabilidad, conocida como CVE-2023-46604 (puntuación CVSS: 10.0), permite la ejecución remota de código y ha sido activamente explotada desde su divulgación pública a finales de octubre de 2023. Los intrusos están colocando shells web basadas en JSP dentro de la carpeta «admin» del directorio de instalación de ActiveMQ, y la shell web Godzilla es capaz de ejecutar solicitudes HTTP entrantes y devolver los resultados en forma de respuesta HTTP. La carga útil de JSP permite a los actores de amenazas conectarse a la shell web y tomar el control completo sobre el host objetivo, facilitando la ejecución de comandos shell arbitrarios, la visualización de información de red y el manejo de operaciones de gestión de archivos.
Es importante destacar que las shells web están ocultas en un formato binario desconocido y pueden evadir medidas de seguridad y escáneres basados en firmas. A pesar del tipo de archivo desconocido, el motor JSP de ActiveMQ continúa compilando y ejecutando la shell web. El investigador de seguridad Rodel Mendrez señala cómo este método puede evadir medidas de seguridad y escapar de la detección por parte de los puntos finales de seguridad durante el escaneo.
Los usuarios de Apache ActiveMQ deben actualizar a la última versión lo antes posible para mitigar posibles amenazas. Los actores de amenazas están utilizando la vulnerabilidad para desplegar ransomware, rootkits, mineros de criptomonedas y botnets de DDoS. La cadena de ataque muestra que el código de la shell web es convertido en código Java antes de su ejecución por el motor Servlet Jetty, lo que permite a los adversarios conectarse a la shell web a través de la interfaz de usuario de gestión de Godzilla y obtener control total sobre el host objetivo.
