OSGeo GeoServer GeoTools 中最近披露的安全漏洞已被利用为多个活动的一部分,以提供加密货币矿工、Condi 和 JenX 等僵尸网络恶意软件,以及一个名为 SideWalk 的已知后门。
该安全漏洞是一个严重的远程代码执行错误(CVE-2024-36401,CVSS 评分:9.8),可能允许恶意行为者接管易受攻击的实例。
7 月中旬,美国网络安全和基础设施安全局 (CISA) 根据主动利用的证据,将其添加到已知利用漏洞 (KEV) 目录中。Shadowserver Foundation 表示,从 2024 年 7 月 9 日开始,它检测到针对其蜜罐传感器的漏洞利用企图。
据 Fortinet FortiGuard Labs 称,已观察到该漏洞被用于交付 GOREVERSE,这是一种反向代理服务器,旨在与命令和控制 (C2) 服务器建立连接,以进行利用后活动。
据说这些攻击的目标是印度的 IT 服务提供商、美国的科技公司、比利时的政府实体以及泰国和巴西的电信公司。
GeoServer 服务器还充当了 Condi 和名为 JenX 的 Mirai 僵尸网络变体以及至少四种类型的加密货币矿工的渠道,其中一种是从冒充印度特许会计师协会 (ICAI) 的虚假网站中检索到的。
也许利用该漏洞的攻击链中最引人注目的是传播名为 SideWalk 的高级 Linux 后门的攻击链,该后门归因于被跟踪为 APT41 的中国威胁行为者。
起点是一个 shell 脚本,该脚本负责下载 ARM、MIPS 和 X86 架构的 ELF 二进制文件,该脚本反过来又从加密配置中提取 C2 服务器,连接到该服务器,并接收进一步的命令,以便在受感染的设备上执行。
这包括运行称为快速反向代理 (FRP) 的合法工具,通过创建从主机到攻击者控制的服务器的加密隧道来逃避检测,从而允许持续的远程访问、数据泄露和有效负载部署。
“主要目标似乎分布在三个主要地区:南美、欧洲和亚洲,”安全研究人员 Cara Lin 和 Vincent Li 说。
“这种地理分布表明存在复杂而影响深远的攻击活动,可能会利用这些不同市场的常见漏洞,或针对这些地区普遍存在的特定行业。”
在此之前,CISA 本周在其 KEV 目录中添加了 2021 年在 DrayTek VigorConnect 中发现的两个缺陷(CVE-2021-20123 和 CVE-2021-20124,CVSS 评分:7.5),这些漏洞可能被利用以 root 权限从底层操作系统下载任意文件。