Bug corrigido do Apache ActiveMQ abusado para descartar shells da web Godzilla

Início / Tecnologia da Informação / Bug corrigido do Apache ActiveMQ abusado para descartar shells da web Godzilla
hacker roubando senhas

Uma vulnerabilidade crítica de execução remota de código (RCE) corrigida em sistemas de mensagens Apache ActiveMQ está sendo amplamente explorada por invasores, de acordo com uma pesquisa da TrustWave.

A vulnerabilidade, rastreada como CVE-2023-46604, é usada por invasores para inserir e executar shells da web Java Server Pages (JSP) maliciosos, derivados do shell da web Godzilla de código aberto, nos hosts Apache ActiveMQ afetados.

“Os shells da web estão ocultos em um formato binário desconhecido e são projetados para escapar da segurança e dos scanners baseados em assinaturas”, disse Apache em uma postagem no blog. “Notavelmente, apesar do formato de arquivo binário desconhecido, o mecanismo JSP do ActiveMQ continua a compilar e executar o web shell.”

A falha decorre de uma prática insegura de desserialização dentro do protocolo OpenWire usado pelo sistema de mensagens ActiveMQ, permitindo que um invasor remoto com acesso de rede a um corretor OpenWire baseado em Java (servidor de mensagens) ou a um cliente (endpoint que recebe ou envia mensagens) execute comandos shell arbitrários.

Godzilla oculto é executado sem detecção

Os pesquisadores da Trustwave identificaram arquivos JSP suspeitos colocados na pasta “admin” no diretório de instalação do ActiveMQ de um cliente Apache ActiveMQ vulnerável. A pasta continha os scripts do servidor para o console administrativo e de gerenciamento web do ActiveMQ, de acordo com a TrustWave.

“Após uma análise mais aprofundada, o Trustwave SpiderLabs determinou que este código JSP veio de um web shell de código aberto conhecido como Godzilla Web concha”, disse TrustWave.

Apesar de estar oculto em um tipo desconhecido de binário, o código JSP foi escolhido e executado pelo servidor web Java como um script válido.

“Curiosamente, o mecanismo Jetty JSP, que é o servidor web integrado no Apache ActiveMQ, na verdade analisou, compilou e executou o código Java incorporado que foi encapsulado no binário desconhecido”, disse TrustWave. “Um exame mais aprofundado do código Java gerado pelo Jetty mostrou que o código web shell foi convertido em código Java e, portanto, foi executado.”

Este método de ataque pode contornar com sucesso as medidas de segurança, evitando a detecção por endpoints de segurança durante a verificação.

Leia também: Os invasores implantam rootkits em servidores Apache Hadoop e Flink

Godzilla implanta um backdoor multifuncional

Depois que o código JSP for implantado com sucesso, os agentes da ameaça poderão usar o web shell por meio da interface de usuário de gerenciamento do Godzilla para obter controle completo sobre o sistema de destino.

O web shell Godzilla apresenta um conjunto de funcionalidades maliciosas, incluindo visualização de detalhes da rede, realização de varreduras de portas, execução de comandos MimiKatz e MeterPeter, execução de comandos shell, gerenciamento remoto de bancos de dados SQL e injeção de shellcode em processos.

Abandonar Godzilla não é o primeiro abuso do bug como tem sido, desde sua divulgação pública em outubro de 2023, explorado ativamente por invasores para mineração de criptografia, trojans de acesso remoto e ransomware. As versões afetadas incluem Apache ActiveMQ 5.18.0 (antes de 5.18.3), 5.17.0 (antes de 5.17.6), 5.16.0 (antes de 5.16.7) e Apache ActiveMQ antes de 5.15.16.

A TrustWave recomendou que os usuários atualizassem corretores e clientes para a versão 5.15.16, 5.16.7, 5.17.6 ou 5.18.3, que corrige a vulnerabilidade.

Roberto Magalhães

O cérebro editor por trás do Tecnologico.online, é um entusiasta apaixonado por tecnologia. Canaliza sua fascinação para criar conteúdo envolvente e informativo. Sua dedicação à inovação reflete-se nos artigos que produz, abrangendo uma ampla gama de tópicos tecnológicos. Com um olhar atento para as últimas tendências e desenvolvimentos, busca tornar...

Voltar para o blog

Deixe um comentário

Os comentários precisam ser aprovados antes da publicação.