A pesar de estar oculto dentro de un tipo desconocido de binario, el servidor web Java seleccionó y ejecutó el código JSP como un script válido.
«Curiosamente, el motor Jetty JSP, que es el servidor web integrado en Apache ActiveMQ, en realidad analizó, compiló y ejecutó el código Java incrustado que estaba encapsulado en el binario desconocido», dijo TrustWave. «Un examen más detenido del código Java generado por Jetty mostró que el código del shell web se convirtió en código Java y, por lo tanto, se ejecutó».
Este método de ataque puede eludir con éxito las medidas de seguridad, evadiendo la detección por parte de los puntos finales de seguridad durante el escaneo.
Godzilla implementa una puerta trasera multifuncional
Una vez que el código JSP se implementa con éxito, los actores de amenazas pueden usar el shell web a través de la interfaz de usuario de administración de Godzilla para obtener un control total sobre el sistema de destino.
El web shell de Godzilla presenta un conjunto de funcionalidades maliciosas, que incluyen ver detalles de la red, realizar escaneos de puertos, ejecutar comandos MimiKatz y MeterPeter, ejecutar comandos de shell, administrar de forma remota bases de datos SQL e inyectar código de shell en procesos.
Eliminar a Godzilla no es el primer abuso del error, ya que lo ha sido, desde su divulgación pública en octubre de 2023, explotado activamente por atacantes para minería de criptomonedas, troyanos de acceso remoto y ransomware. Las versiones afectadas incluyen Apache ActiveMQ 5.18.0 (antes de 5.18.3), 5.17.0 (antes de 5.17.6), 5.16.0 (antes de 5.16.7) y Apache ActiveMQ antes de 5.15.16.