El mundo de la seguridad informática ha sido testigo recientemente de una preocupante revelación. Un informe reciente detalla la explotación de una vulnerabilidad crítica en Apache ActiveMQ, un popular software de intermediación de mensajes (Message Broker).
Para entender la gravedad del asunto, primero debemos comprender qué es Apache ActiveMQ. ActiveMQ es una solución de broker de mensajes de código abierto que facilita la comunicación entre diferentes aplicaciones de software. En términos sencillos, es como un intermediario que permite que distintos sistemas informáticos "hablen" entre sí, intercambiando datos de manera eficiente y segura.
Te podrá interesar leer: HelloKitty Ransomware Abusa de Fallo en ActiveMQ
Investigadores de ciberseguridad han alertado sobre un aumento significativo en la actividad de actores de amenazas que están aprovechando activamente una vulnerabilidad previamente corregida en Apache ActiveMQ para introducir el web shell conocido como "Godzilla" en sistemas comprometidos.
Estos web shells están camuflados dentro de un formato binario no identificado y están diseñados para eludir las medidas de seguridad y los escáneres basados en firmas. A pesar de la naturaleza desconocida del formato de archivo binario, el motor JSP de ActiveMQ sigue siendo capaz de compilar y ejecutar este web shell.
La CVE-2023-46604 (con una puntuación CVSS de 10.0) hace referencia a una vulnerabilidad crítica en Apache ActiveMQ que permite la ejecución remota de código. Desde su divulgación a finales de octubre de 2023, múltiples adversarios la han estado explotando activamente para llevar a cabo actividades como el ransomware, la instalación de rootkits, la minería de criptomonedas y la creación de botnets DDoS.
Conoce más sobre: Comprendiendo los Ataques de Remote Code Execution (RCE)
En las últimas intrusiones detectadas por los investigadores, los sistemas vulnerables han sido atacados con web shells basados en JSP que se encuentran en la carpeta "admin" del directorio de instalación de ActiveMQ.
Este web shell, denominado "Godzilla", es una puerta trasera completa que puede analizar las solicitudes HTTP POST entrantes, ejecutar su contenido y devolver los resultados como respuestas HTTP.
Lo que hace que estos archivos maliciosos sean particularmente notables es la forma en que el código JSP parece estar oculto en un tipo de binario desconocido. Este enfoque tiene el potencial de evadir las medidas de seguridad, escapando de la detección por parte de los sistemas de seguridad de punto final durante la exploración.
Un análisis más profundo de la cadena de ataque revela que el código del web shell se transforma en código Java antes de su ejecución a través del motor Jetty Servlet.
En última instancia, la carga útil JSP permite al actor de amenazas conectarse al web shell a través de la interfaz de usuario de administración de "Godzilla" y obtener un control total sobre el sistema de destino. Esto facilita la ejecución de comandos de shell arbitrarios, la visualización de información de red y la gestión de operaciones de administración de archivos.
Se recomienda a los usuarios de Apache ActiveMQ que actualicen a la versión más reciente lo antes posible para reducir los riesgos de posibles amenazas.
Te podría interesar leer: ¿Tu software está al día?: Importancia de los Parches
La explotación de la vulnerabilidad en Apache ActiveMQ sirve como un recordatorio crítico de la importancia de la ciberseguridad en el mundo digital actual. Mientras que las herramientas como ActiveMQ son esenciales para la operación eficiente de numerosas organizaciones, también pueden ser puntos de vulnerabilidad si no se gestionan adecuadamente. La rápida respuesta de Apache y la adopción de medidas de seguridad por parte de las organizaciones son pasos clave para garantizar la integridad y seguridad de nuestros sistemas de información.