Gli esperti lanciano l’allarme: ghigno di Godzilla dietro l’ombra di Apache ActiveMQ. Scopri la minaccia informatica in agguato.
Recenti analisi di Trustwave hanno sollevato un campanello d’allarme circa un’intensificazione nell’esecuzione di attacchi informatici che sfruttano una vulnerabilità in Apache ActiveMQ. Quest’ultima, un sistema di messaggistica open source, è caduta preda del nefasto artiglio di un malware chiamato webshell Godzilla, una componente di backdoor altamente furtiva e insidiosa.
Il funzionamento delle webshell, in questo contesto, si basa sulla loro tendenza ad essere occultate all’interno di formati binari inusuali. L’obiettivo è quello di sfuggire ai sistemi di sicurezza progettati per identificare minacce basandosi su pattern noti. Da un punto di vista tecnico, ciò che sorprende è la capacità del codice JSP ActiveMQ di processare ed eseguire questi frammenti di codice maligno nonostante il loro imprevedibile formato binario.
Si tratta di un’esposizione al rischio non trascurabile, dato che il CVE-2023-46604, che si colloca su una scala di allerta con un punteggio CVSS di 9,8, apre la strada a possibili esecuzioni di codice remoto (RCE). Da quando la vulnerabilità è stata resa pubblica alla fine di ottobre 2023, abbiamo assistito a un susseguirsi di attacchi che hanno visto protagonisti questa webshell per perpetrare atti malevoli quali la diffusione di ransomware, rootkit, software di mining di criptovalute e botnet per attacchi DDoS.
Nel vasto panorama degli attacchi rilevati, numerose sono state le vittime che hanno subito l’inserimento di webshell basate su JSP (Java Server Pages) nelle loro cartelle “admin” delle direttorie di installazione di ActiveMQ. Questa precisa tattica apre le porte della sistemistica compromessa a Godzilla, una webshell pienamente dotata di strumenti di comando che analizza le richieste HTTP POST in arrivo, con il potere di eseguire codici e rilasciarne i risultati all’interno delle risposte HTTP.
I file dannosi si contraddistinguono per l’astuzia con cui il codice JSP è insidiato all’interno di un file binario di genere ignoto, un trucco per aggirare la vigilanza dei sistemi di rilevamento automatico. Analizzando con maggior attenzione la sequenza offensiva, emergono indizi che il codice maligno viene trasmigrato in comandi Java, per poi essere immessi ed eseguiti dal motore servlet di Jetty.
La conclusione dell’iter infettivo vede l’aggressore informatico approdare all’interfaccia utente di gestione di Godzilla, assumendo un controllo pressoché totale sull’host bersaglio. Questo grado di potere permette la gestione libera di vari comandi, la supervisione delle informazioni di rete, e l’orchestrazione di operazioni sui file presenti.
In scena emerge un chiaro monito agli utilizzatori di Apache ActiveMQ: l’urgenza di aggiornare i sistemi con le versioni più recenti al fine di mettere a tacere, o quanto meno ridurre, le minacce incombenti.