Siber güvenlik araştırmacıları, tehlikeli ana bilgisayarlara Godzilla web kabuğunu sunmak için Apache ActiveMQ’daki yamalanmış bir kusurdan aktif olarak yararlanan tehdit aktörlerinin faaliyetlerinde “dikkate değer bir artış” olduğu konusunda uyarıda bulunuyor.
Trustwave, “Web kabukları bilinmeyen bir ikili formatta gizlenmiştir ve güvenlik ve imza tabanlı tarayıcılardan kaçmak için tasarlanmıştır” dedi. “İkili dosyanın bilinmeyen dosya formatına rağmen ActiveMQ’nun JSP motoru web kabuğunu derlemeye ve yürütmeye devam ediyor.”
CVE-2023-46604 (CVSS puanı: 10.0), Apache ActiveMQ’da uzaktan kod yürütülmesine olanak tanıyan ciddi bir güvenlik açığını ifade eder. Ekim 2023’ün sonlarında kamuya açıklanmasından bu yana, fidye yazılımı, rootkit’ler, kripto para madencileri ve DDoS botnet’lerini dağıtmak için birden fazla düşman tarafından aktif olarak istismar edildi.
Trustwave tarafından gözlemlenen en son izinsiz giriş setinde, duyarlı örnekler ActiveMQ kurulum dizininin “admin” klasörüne yerleştirilen JSP tabanlı web kabukları tarafından hedef alınmıştır.
Godzilla adlı web kabuğu, gelen HTTP POST isteklerini ayrıştırabilen, içeriği yürütebilen ve sonuçları bir HTTP yanıtı biçiminde döndürebilen, işlevsellik açısından zengin bir arka kapıdır.
Güvenlik araştırmacısı Rodel Mendrez, “Bu kötü amaçlı dosyaları özellikle dikkate değer kılan şey, JSP kodunun bilinmeyen bir ikili dosya türünde nasıl gizlenmiş gibi görünmesidir” dedi. “Bu yöntem, tarama sırasında güvenlik uç noktaları tarafından tespit edilmekten kaçınarak güvenlik önlemlerini aşma potansiyeline sahiptir.”
Saldırı zincirinin daha yakından incelenmesi, web kabuk kodunun Jetty Servlet Engine tarafından yürütülmeden önce Java koduna dönüştürüldüğünü gösterir.
JSP yükü sonuçta tehdit aktörünün Godzilla yönetim kullanıcı arayüzü aracılığıyla web kabuğuna bağlanmasına ve hedef ana bilgisayar üzerinde tam kontrol sahibi olmasına olanak tanıyarak keyfi kabuk komutlarının yürütülmesini, ağ bilgilerinin görüntülenmesini ve dosya yönetimi işlemlerinin yürütülmesini kolaylaştırır.
Potansiyel tehditleri azaltmak için Apache ActiveMQ kullanıcılarının mümkün olan en kısa sürede en son sürüme güncellemeleri önemle tavsiye edilir.