Cybersicherheitsforscher warnen vor einer „bemerkenswerten Zunahme“ der Aktivität von Bedrohungsakteuren, die eine jetzt behobene Schwachstelle in Apache ActiveMQ aktiv ausnutzen, um die Godzilla-Webshell auf kompromittierten Hosts zu platzieren. Trustwave gab an, dass die Webshells in einem unbekannten binären Format verborgen sind und darauf abzielen, Sicherheits- und Signatur-basierte Scanner zu umgehen. Trotz des unbekannten Dateiformats des Binärs kompiliert und führt ActiveMQs JSP-Engine die Webshell aus. CVE-2023-46604 (CVSS Score: 10.0) bezieht sich auf eine schwerwiegende Sicherheitslücke in Apache ActiveMQ, die die Ausführung von Remote-Code ermöglicht. Seit ihrer öffentlichen Offenlegung Ende Oktober 2023 wird sie aktiv von mehreren Angreifern ausgenutzt, um Ransomware, Rootkits, Kryptowährungs-Miner und DDoS-Botnets einzusetzen.
In dem neuesten von Trustwave beobachteten Angriffsset wurden anfällige Instanzen von JSP-basierten Webshells angegriffen, die im „admin“-Ordner des ActiveMQ-Installationsverzeichnisses platziert werden. Die Webshell namens Godzilla ist ein funktionsreiches Hintertürprogramm, das eingehende HTTP POST-Anfragen analysieren, den Inhalt ausführen und die Ergebnisse in Form einer HTTP-Antwort zurückgeben kann. „Was diese bösartigen Dateien besonders bemerkenswert macht, ist, wie der JSP-Code in einer unbekannten Art von Binärdatei verborgen zu sein scheint“, sagte der Sicherheitsforscher Rodel Mendrez. „Diese Methode hat das Potenzial, Sicherheitsmaßnahmen zu umgehen und von Sicherheitsendpunkten bei der Überprüfung unentdeckt zu bleiben.“ Eine genauere Untersuchung der Angriffskette zeigt, dass der Webshell-Code vor seiner Ausführung durch den Jetty Servlet Engine in Java-Code umgewandelt wird.