A CISA revelou que, no ano passado, invasores comprometeram a rede de uma agência federal civil dos Estados Unidos após explorarem uma instância desatualizada do GeoServer.
A vulnerabilidade, identificada como
CVE-2024-36401
, trata-se de uma falha crítica de remote code execution (RCE), que foi corrigida por patch em 18 de junho de 2024.
Cerca de um mês depois, a CISA incluiu essa falha em seu catálogo de vulnerabilidades ativamente exploradas, após diversos pesquisadores de segurança publicarem proof-of-concept exploits demonstrando como executar código remotamente em servidores vulneráveis.
Embora a agência de segurança não tenha detalhado os métodos exatos empregados pelos atacantes, o serviço de monitoramento Shadowserver identificou os primeiros ataques explorando a
CVE-2024-36401
em 9 de julho de 2024.
Na mesma época, o motor de busca OSINT ZoomEye apontava mais de 16.000 servidores GeoServer expostos publicamente.
Dois dias após a detecção das primeiras investidas, hackers acessaram um servidor GeoServer pertencente à agência federal e, aproximadamente duas semanas depois, comprometeram outro servidor da mesma instituição.
Na fase seguinte da operação, os invasores se movimentaram lateralmente dentro da rede, invadindo um servidor web e, posteriormente, um servidor SQL.
Segundo a CISA, “em cada servidor, os invasores fizeram upload ou tentaram enviar web shells como o China Chopper, além de scripts para acesso remoto, persistência, execução de comandos e elevação de privilégios”.
Dentro da rede da organização, os atacantes utilizaram principalmente técnicas de brute force [T1110] para obter senhas e avançar lateralmente, além de explorar contas de serviço associadas a serviços críticos.
A presença dos invasores permaneceu despercebida por três semanas, até que a ferramenta de Endpoint Detection and Response (EDR) da agência federal detectou uma ameaça ao identificar um arquivo suspeito de malware no servidor SQL, em 31 de julho de 2024.
Com o aumento dos alertas gerados pelo EDR, o Security Operations Center (SOC) do órgão isolou o servidor comprometido e iniciou uma investigação, contando com o suporte da CISA.
A agência americana recomenda que profissionais de segurança acelerem a aplicação de patches em vulnerabilidades críticas, especialmente aquelas listadas no catálogo Known Exploited Vulnerabilities.
Além disso, alerta para a necessidade de monitoramento contínuo dos alertas gerados por ferramentas EDR e reforço nos planos de resposta a incidentes.
Em julho, a CISA também divulgou um alerta após realizar uma operação de hunting em uma organização de infraestrutura crítica dos EUA.
Embora não tenha encontrado atividades maliciosas, foram identificados diversos riscos de segurança, como credenciais armazenadas de forma insegura, compartilhamento de credenciais de administradores locais entre múltiplas máquinas, acesso remoto irrestrito para contas administrativas locais, falta de logs suficientes e problemas na segmentação da rede.
Esses achados reforçam a importância de manter controles rigorosos e práticas avançadas de segurança para reduzir a superfície de ataque e proteger sistemas críticos contra ameaças em constante evolução.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...