مورد بهره‌برداری قرارگرفتن نقص Apache ActiveMQ در حملات جدید پوسته وب گودزیلا

محققان امنیت سایبری نسبت به “افزایش قابل‌توجه” در فعالیت عامل تهدید هشدار می‌دهند که به طور فعال از یک نقص اصلاح شده در Apache ActiveMQ برای ارائه پوسته وب گودزیلا روی میزبان‌های در معرض خطر سوءاستفاده می‌کند.

Trustwave گفت[۱]: «پوسته‌های وب در قالب دودویی ناشناخته پنهان شده‌اند و برای فرار از اسکنرهای امنیتی و مبتنی بر امضا طراحی شده‌اند. قابل‌ذکر است، با وجود فرمت فایل ناشناخته باینری، موتور JSP ActiveMQ به کامپایل و اجرای پوسته وب ادامه می‌دهد.»

CVE-2023-46604 (امتیاز ۱۰ در مقیاس CVSS) به یک آسیب پذیری شدید[۲] در Apache ActiveMQ اشاره دارد که اجرای کد از راه دور را امکان پذیر می‌کند. از زمان افشای عمومی آن در اواخر اکتبر ۲۰۲۳، چندین دشمن برای استقرار باج‌افزار[۳]، روت‌کیت‌ها، استخراج‌کنندگان ارزهای دیجیتال[۴] و بات‌نت‌های [۵]DDoS مورد بهره‌برداری فعال قرار گرفتند.

در جدیدترین مجموعه نفوذ مشاهده شده توسط Trustwave، نمونه‌های حساس توسط پوسته‌های وب مبتنی بر JSP که در پوشه “admin” دایرکتوری نصب ActiveMQ قرار دارند، هدف قرار گرفته‌اند.

این پوسته وب، به نام گودزیلا[۶]، یک درب پشتی غنی از عملکرد[۷] است که می‌تواند درخواست‌های HTTP POST ورودی را تجزیه کند، محتوا را اجرا کند و نتایج را در قالب یک پاسخ HTTP برگرداند.

رودل مندرز، محقق امنیتی، گفت: «آنچه این فایل‌های مخرب را به‌ویژه قابل‌توجه می‌کند این است که چگونه به نظر می‌رسد کد JSP در یک نوع ناشناخته باینری پنهان شده است. این روش پتانسیل دورزدن اقدامات امنیتی را دارد و از شناسایی توسط نقاط انتهایی امنیتی در حین اسکن جلوگیری می‌کند.»

بررسی دقیق‌تر زنجیره حمله نشان می‌دهد که کد پوسته وب قبل از اجرای آن توسط موتور Jetty Servlet به کد جاوا تبدیل می‌شود.

Payload از نوع JSP در نهایت به عامل تهدید اجازه می‌دهد تا از طریق رابط کاربری مدیریت گودزیلا به پوسته وب متصل شود و کنترل کامل بر میزبان هدف را به دست آورد و اجرای دستورات پوسته دلخواه، مشاهده اطلاعات شبکه و مدیریت عملیات مدیریت فایل را تسهیل کند.

به کاربران Apache ActiveMQ به‌شدت توصیه می‌شود که دراسرع‌وقت به آخرین نسخه به‌روزرسانی کنند تا تهدیدات احتمالی را کاهش دهند.