Apache ActiveMQ の脆弱性 CVE-2023-46604:Godzilla Webshell による侵害を検知

A Stealthy Godzilla Webshell: A New Threat Targeting Apache ActiveMQ

2024/01/18 SecurityOnline — Apache ActiveMQ ホストの脆弱性を悪用するサイバー攻撃が、この数週間で急増していることを、Trustwave のサイバー・セキュリティ専門家たちが検知した。これらの攻撃では、Godzilla Webshell と呼ばれる、未知のバイナリ形式に隠されたステルス性の高い Web シェルが発見されている。

この脅威の根源は、Apache ActiveMQ ソフトウェアに存在する、深刻な脆弱性 CVE-2023-46604 にある。この脆弱性は、OpenWire プロトコルの安全ではないデシリアライズの慣行に起因しており、脅威アクターによる任意のシェルコマンド実行を介した、ターゲット・システムへの不正アクセスを引き起こす可能性がある。2023年10月に PoC エクスプロイトが一般に公開されたことで、この状況がエスカレートし、クリプトマイナー/ルートキット/ランサムウェア/RAT などの各種の悪意のペイロードが、脅威アクターたちにより展開されるようになった。

The malicious file was planted in the same directory of the Apache ActiveMQ admin page

それらの悪意のファイルは、Apache ActiveMQ の管理ページのディレクトリに仕込まれていた。

先日に Trustwave の Global Threat Operations Team が、Apache ActiveMQ の脆弱なインスタンスをホストしているサーバ内で、疑わしい JSP (Java Server Pages) ファイルを偶然に発見した。彼らの注意を引いたのは、悪意のコードが正体不明のバイナリ構造内にカプセル化されており、独特の FLR マジック・ヘッダでマークされていることだった。

この JSP ファイルは、管理コンソールや Web 管理コンソールのサーバー・スクリプトが置かれている、ActiveMQ のインストール・ディレクトリの “admin” フォルダ内に狡猾に仕込まれていた。

さらに調査を進めると、この JSP コードは、Godzilla Webshell と呼ばれるオープンソース Web シェルであることが判明した。一連のファイルの特徴は、未知のバイナリ形式の使用であり、セキュリティとスキャンの対策を回避する可能性を持っている。驚かされたのは、Apache ActiveMQ に統合された Jetty JSP エンジンが、未知のバイナリにカプセル化されたエンベデッド Java コードを解析/コンパイル/実行することだった。

バイナリ内の謎めいたデータは、”out.write()” 関数を用いてクライアントのブラウザに送信されるが、ブラウザから Web シェルにアクセスすると、意味不明の文字が表示されていた。ただし、Web シェルのコード自体は Java コードに変換され、サーバ側で実行されるため、ここには存在しなかった。

この JSP ペイロードのデプロイに成功した脅威アクターは、Godzilla Web シェルの管理ユーザー・インターフェースにアクセスできるようになり、侵害したシステムを完全に制御できるようになる。

Godzilla Webshell は、この脅威アクターが使用する強力なツールであり、以下の機能などを提供する:

  • ネットワーク詳細の表示
  • ポートスキャンの実行
  • Mimikatz コマンドの実行
  • Meterpreter コマンドの実行
  • シェルコマンドの実行
  • SQL データベースのリモート管理
  • プロセスへのシェルコード注入
  • ファイル管理タスクの処理

Godzilla Webshell および、脆弱性 CVE-2023-46604 の脅威を軽減するために、ユーザー強く推奨されるのは、ブローカとクライアントの両方を、バージョン 5.15.16/5.16.7/5.17.6/5.18.3 にアップグレードすることである。これらのバージョンには、この脆弱性に対処するための修正が含まれている。

Apache ActiveMQ の脆弱性 CVE-2023-46604 のコンテキストで、Godzilla Webshell が発見されたことで、サイバー・セキュリティにおける脅威の状況の進化を感じられる。Webシェルを隠すために、未知のバイナリ形式が使用されると、このような脅威の検出/軽減に複雑なレイヤーが加わってしまう。それぞれの組織は、Godzilla Web シェルのような、新たな脅威から資産を保護する必要がある。そのためには、速やかにシステムにパッチを適用し、高度なセキュリティ対策を採用することが強く求められる。

Apache ActiveMQ に関しては、2023年11月にリモートコード実行 (RCE) の脆弱性 CVE-2023-46604 が悪用され、いくつかの記事がポストされていました。この、さまざまなアプリケーションで利用されている、Java ベースのメッセージ・ブローカーを悪用する、新たなマルウェア Godzilla Webshell が発見されたようです。ご利用のチームは、ご注意ください。