Pesquisadores de cibersegurança estão alertando sobre um “aumento notável” na atividade de atores de ameaças que estão explorando ativamente uma falha corrigida no Apache ActiveMQ para entregar o web shell Godzilla em hosts comprometidos.

Os web shells estão escondidos dentro de um formato binário desconhecido e são projetados para evadir scanners de segurança e baseados em assinaturas. Notavelmente, apesar do formato de arquivo desconhecido do binário, o mecanismo JSP do ActiveMQ continua a compilar e executar o web shell.

A vulnerabilidade, identificada como CVE-2023-46604 (pontuação CVSS: 10.0), é uma falha grave no Apache ActiveMQ que permite a execução remota de código. Desde sua divulgação pública no final de outubro de 2023, ela tem sido ativamente explorada por vários adversários para implantar ransomware, rootkits, mineradores de criptomoedas e botnets de DDoS.

O web shell, chamado Godzilla, é um backdoor rico em funcionalidades capaz de analisar solicitações HTTP POST recebidas, executar o conteúdo e retornar os resultados na forma de uma resposta HTTP. Usuários do Apache ActiveMQ são altamente recomendados a atualizar para a versão mais recente o mais rápido possível para mitigar ameaças potenciais.