“Los expertos en ciberseguridad han alertado sobre un ‘notable aumento’ en la actividad de actores de amenazas que están aprovechando activamente una vulnerabilidad ahora parcheada en Apache ActiveMQ para desplegar el shell web Godzilla en sistemas comprometidos.

“Los web shells están camuflados en un formato binario desconocido y han sido diseñados para evadir la detección de seguridad y los escáneres basados en firmas”, informó Trustwave. “A pesar del formato de archivo desconocido del binario, el motor JSP de ActiveMQ sigue compilando y ejecutando el shell web”.

La vulnerabilidad en cuestión, identificada como CVE-2023-46604 (puntuación CVSS: 10.0), se refiere a una grave falla en Apache ActiveMQ que permite la ejecución remota de código. Desde su divulgación pública a finales de octubre de 2023, múltiples adversarios han estado explotándola activamente para implementar ransomware, rootkits, mineros de criptomonedas y botnets DDoS.”

“En el más reciente conjunto de intrusiones detectado por Trustwave, las instancias vulnerables han sido blanco de ataques mediante web shells basados en JSP localizados dentro del directorio ‘admin’ en la instalación de ActiveMQ.

El web shell, denominado Godzilla, actúa como una puerta trasera completa con funcionalidades avanzadas, permitiendo la análisis de solicitudes HTTP POST entrantes, la ejecución de su contenido y la entrega de los resultados a través de respuestas HTTP.

“Lo que destaca de manera significativa en estos archivos maliciosos es cómo el código JSP parece estar oculto dentro de un tipo de binario desconocido”, señaló el investigador de seguridad Rodel Mendrez. “Este enfoque tiene el potencial de evadir las medidas de seguridad al eludir la detección por parte de los puntos finales durante los escaneos”.

Un análisis más profundo de la cadena de ataque revela que el código del web shell se transforma en código Java antes de su ejecución por parte del Jetty Servlet Engine.”

“En la fase final, la carga útil JSP habilita al actor de amenazas a conectarse al shell web mediante la interfaz de usuario de administración de Godzilla, logrando así un control total sobre el sistema objetivo. Esto facilita la ejecución de comandos de shell arbitrarios, la visualización de información de red y la gestión de operaciones de administración de archivos.

Se hace un fuerte llamado a los usuarios de Apache ActiveMQ para que realicen la actualización a la versión más reciente de manera inmediata, con el fin de mitigar posibles amenazas.”