- Các chuyên gia bảo mật đang cảnh báo về một làn sóng gia tăng đáng kể trong hoạt động của các nhóm tấn công mạng, đặc biệt là khi chúng tích cực khai thác một lỗ hổng trên Apache ActiveMQ để triển khai web shell mang tên là Godzilla.
Web shell này được ẩn giấu dưới định dạng nhị phân không rõ nguồn gốc nhằm qua mặt các công cụ quét và biện pháp bảo mật dựa trên chữ ký.
Đáng chú ý, mặc dù định dạng file nhị phân này chưa được xác định, động cơ JSP của ActiveMQ vẫn tiếp tục biên dịch và thực thi web shell, tạo điều kiện cho các đối tượng tấn công xâm nhập mà không bị phát hiện bởi các công cụ bảo mật.
Lỗ hổng đang bị khai thác có mã CVE-2023-46604 (Điểm CVSS: 10.0) là một lỗ hổng nghiêm trọng trên Apache ActiveMQ cho phép đối tượng tấn công thực thi mã từ xa. Trong chuỗi tấn công mới nhất được phát hiện, các thiết bị đã bị tấn công thông qua việc cài đặt các web shell sử dụng JSP, được đặt trong thư mục "admin" khi cài đặt ActiveMQ.
 |
| Ảnh minh họa |
Từ khi thông tin về lỗ hổng này được công bố vào cuối tháng 10/2023, đã có nhiều đối tượng tấn công sử dụng lỗ hổng này để triển khai các loại mã độc như ransomware, rootkit, đào tiền ảo và botnet DDoS.
Web shell có tên Godzilla là một backdoor với nhiều tính năng, có khả năng xử lý các yêu cầu HTTP POST, thực thi nội dung và trả về kết quả dưới dạng phản hồi HTTP. Quá trình tấn công cho thấy mã web shell được chuyển đổi thành mã Java trước khi thực thi bởi Jetty Servlet Engine, cho phép đối tượng tấn công kết nối và có quyền kiểm soát đầy đủ trên hệ thống mục tiêu.
Trong chiến dịch này, payload JSP có mục tiêu cuối cùng là cho phép đối tượng tấn công kết nối đến web shell thông qua giao diện quản lý của Godzilla. Điều này giúp các nhóm tấn công chiếm hoàn toàn quyền kiểm soát thiết bị mục tiêu, cho phép thực thi các lệnh shell tùy ý và xem thông tin mạng, đồng thời thực hiện các thao tác quản lý tập tin.
Hiện nay, lỗ hổng CVE-2023-46604 đã được cập nhật bản vá để khắc phục, tuy nhiên, các chuyên gia bảo mật khuyến nghị người dùng Apache ActiveMQ nên cập nhật phiên bản mới nhất sớm nhất có thể để giảm thiểu khả năng bị tấn công bởi các đối tượng khai thác lỗ hổng này.
PV
