Os atores de ameaças desencadearam uma nova onda de ataques cibernéticos visando uma execução remota de código (RCE) crítica. vulnerabilidade no Apache ActiveMQ, para o qual a Apache Software Foundation (ASF) lançou um patch em outubro.
Em muitos dos ataques, o adversário lançou uma carga baseada no Godzilla, um conhecido shell da Web que permite esmagar sistemas comprometidos e obter controle total.
A vulnerabilidade do ActiveMQ, rastreada como CVE-2023-46604, carrega uma pontuação de gravidade máxima de 10 em 10 na escala CVSS 3.0 e afeta várias versões da tecnologia de corretor de mensagens de código aberto amplamente usada (incluindo versões Apache ActiveMQ anteriores a 5.18.3; 5.17.6. e ActiveMQ Legacy OpenWire Module antes 5.18.3 e antes de 5.17.6).
Mais de 3,400 servidores ActiveMQ vulneráveis abertos a ataques cibernéticos
Pesquisadores da Trustwave SpiderLabs detectou a atividade recentemente e descreveu os atores da ameaça como usando um binário desconhecido para ofuscar o Concha Web Godzilla para tentar escapar de scanners baseados em assinaturas e outros controles de segurança.
Uma vez implantado em um servidor ActiveMQ vulnerável, o agente da ameaça pode usar o Godzilla para realizar varreduras de portas, enumerar a rede, executar Mimikatz, usar Meterpreter e comandos shell, injetar código shell em processos e realizar outras atividades maliciosas.
De acordo com a Trustwave, houve um “aumento notável” nos ataques direcionados à falha nas últimas semanas. Em um dos ataques analisados pelos pesquisadores da Trustwave, o agente da ameaça plantou um arquivo JavaServer Page (JSP) malicioso na pasta “admin” do arquivo de instalação do ActiveMQ. A análise do arquivo pelo fornecedor de segurança mostrou que ele era um shell da Web baseado no código Godzilla.
“O que torna esses arquivos maliciosos particularmente notáveis é como o código JSP parece estar oculto em um tipo desconhecido de binário”, de acordo com a análise da Trustwave. “Este método tem o potencial de contornar as medidas de segurança, evitando a detecção por endpoints de segurança durante a varredura.”
O fornecedor de segurança publicou indicadores de comprometimento (IoCs) para a nova atividade de ataque e uma regra Yara para detectar o shell Godzilla Web em sistemas comprometidos.
Existem atualmente mais de 3,400 servidores ActiveMQ com a vulnerabilidade acessíveis pela Internet, de acordo com dados da organização de monitoramento da Internet ShadowServer. Esse é quase o mesmo número de sistemas que o ShadowServer relatou como sendo vulnerável em novembro também, sugerindo um sério atraso na correção. Cerca de 1,600 dos servidores vulneráveis estão localizados na Ásia e 750 nos EUA.
Bug de segurança de desserialização insegura
ASF identificou o bug como decorrente de desserialização insegura, que basicamente se refere a um aplicativo que desserializa dados — como solicitações de API, uploads de arquivos e entradas de usuários — sem primeiro verificar se os dados foram manipulados ou são confiáveis. O bug permite que um invasor com acesso a um corretor ou cliente OpenWire baseado em Java execute comandos shell arbitrários enviando objetos manipulados para um servidor afetado.
O código de exploração e os detalhes técnicos completos do bug estão disponíveis publicamente desde o início de novembro e os agentes da ameaça já exploraram a falha para instalar ferramentas de criptomineração, rootkits e cavalos de Tróia de acesso remoto. Em novembro, pesquisadores da Rapid7 relataram ter observado um agente de ameaça explorando CVE-2023-46604 para eliminar o ransomware HelloKity em sistemas vulneráveis. O fornecedor de segurança da época descreveu os ataques como um tanto amadores com base no número de tentativas que o agente da ameaça levou para criptografar dados em um sistema comprometido.
“A atividade foi limitada a alguns dias”, diz Caitlin Condon, diretora de pesquisa de vulnerabilidade e inteligência da Rapid7, acrescentando que a empresa não observou nenhuma atividade recente visando a falha do ActiveMQ. “Com base na atividade que vimos naquele incidente, é perfeitamente possível que tenha sido um invasor solitário que se apoderou do código vazado e tentou ganhar dinheiro rápido. Notavelmente, estávamos analisando o malware e os artefatos, sem atribuir o adversário humano.”
A Trustwave não respondeu imediatamente a uma solicitação de Dark Reading buscando informações sobre o que, se houver, poderia ser responsável pelo aumento repentino de atividades maliciosas direcionadas ao CVE-2023-46604 e se os ataques parecem direcionados ou de natureza oportunista.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/threat-intelligence/godzilla-web-shell-attacks-stomp-critical-apache-activemq-flaw
