Web Shell

Los investigadores de ciberseguridad advierten sobre un «aumento notable» en la actividad de los actores de amenazas que explotan activamente una falla ahora parcheada en Apache ActiveMQ para entregar el shell web Godzilla en hosts comprometidos.

«Los web shells están ocultos dentro de un formato binario desconocido y están diseñados para evadir la seguridad y los escáneres basados ​​en firmas», dijo Trustwave . «En particular, a pesar del formato de archivo desconocido del binario, el motor JSP de ActiveMQ continúa compilando y ejecutando el shell web».

CVE-2023-46604 (puntuación CVSS: 10.0) hace referencia a una vulnerabilidad grave en Apache ActiveMQ que permite la ejecución remota de código. Desde su divulgación pública a finales de octubre de 2023, ha sido objeto de explotación activa por parte de múltiples adversarios para implementar ransomware , rootkits, mineros de criptomonedas y botnets DDoS.

En el último conjunto de intrusiones observado por Trustwave, las instancias susceptibles han sido atacadas por shells web basados ​​en JSP que se encuentran dentro de la carpeta «admin» del directorio de instalación de ActiveMQ.

El web shell, llamado Godzilla , es una puerta trasera rica en funciones capaz de analizar solicitudes HTTP POST entrantes, ejecutar el contenido y devolver los resultados en forma de respuesta HTTP.

«Lo que hace que estos archivos maliciosos sean particularmente notables es cómo el código JSP parece estar oculto dentro de un tipo desconocido de binario», dijo el investigador de seguridad Rodel Mendrez. «Este método tiene el potencial de eludir las medidas de seguridad, evadiendo la detección por parte de los puntos finales de seguridad durante el escaneo».

Un examen más detallado de la cadena de ataque muestra que el código del shell web se convierte en código Java antes de su ejecución por parte del Jetty Servlet Engine.

En última instancia, la carga útil JSP permite al actor de amenazas conectarse al shell web a través de la interfaz de usuario de administración de Godzilla y obtener un control completo sobre el host de destino, lo que facilita la ejecución de comandos de shell arbitrarios, la visualización de información de la red y el manejo de operaciones de administración de archivos.

Se recomienda encarecidamente a los usuarios de Apache ActiveMQ que actualicen a la última versión lo antes posible para mitigar posibles amenazas.

Fuente y redacción: thehackernews.com

Compartir