Uma falha de segurança recentemente divulgada no OSGeo GeoServer GeoTools foi explorada como parte de múltiplas campanhas para entregar mineradores de criptomoedas, malware botnet como Condi e JenX, além de um backdoor conhecido como SideWalk.
A vulnerabilidade de segurança é um bug crítico de execução remota de código (
CVE-2024-36401
, pontuação CVSS: 9.8), que pode permitir que atores maliciosos assumam o controle de instâncias vulneráveis.
Em meados de julho, a Agência de Segurança e Infraestrutura de Cibersegurança dos EUA (CISA) adicionou-a ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), com base em evidências de exploração ativa.
A Fundação Shadowserver afirmou que detectou tentativas de exploração contra seus sensores honeypot a partir de 9 de julho de 2024.
De acordo com o Fortinet FortiGuard Labs, observou-se que a falha entrega o GOREVERSE, um servidor proxy reverso projetado para estabelecer uma conexão com um servidor de comando e controle (C2) para atividades pós-exploração.
Diz-se que esses ataques visam provedores de serviços de TI na Índia, empresas de tecnologia nos EUA, entidades governamentais na Bélgica e empresas de telecomunicações na Tailândia e no Brasil.
O servidor GeoServer também serviu como um conduto para Condi e uma variante de botnet Mirai apelidada de JenX, e pelo menos quatro tipos de mineradores de criptomoedas, um dos quais é recuperado de um website falso que se passa pelo Instituto de Contadores Certificados da Índia (ICAI).
Talvez a cadeia de ataques mais notável que aproveita a falha seja a que propaga um backdoor Linux avançado chamado SideWalk, atribuído a um ator de ameaça chinês rastreado como APT41.
O ponto de partida é um script shell responsável por baixar os binários ELF para arquiteturas ARM, MIPS e X86, que, por sua vez, extraem o servidor C2 de uma configuração criptografada, conectam-se a ele e recebem mais comandos para execução no dispositivo comprometido.
Isso inclui executar uma ferramenta legítima conhecida como Fast Reverse Proxy (FRP) para evadir detecção, criando um túnel criptografado do host para o servidor controlado pelo atacante, permitindo acesso remoto persistente, exfiltração de dados e implantação de payload.
"Os alvos principais parecem estar distribuídos por três principais regiões: América do Sul, Europa e Ásia," disseram os pesquisadores de segurança Cara Lin e Vincent Li.
Essa dispersão geográfica sugere uma campanha de ataque sofisticada e de amplo alcance, potencialmente explorando vulnerabilidades comuns a esses mercados diversificados ou visando indústrias específicas prevalentes nessas áreas.
O desenvolvimento ocorre enquanto a CISA adicionou esta semana ao seu catálogo KEV duas falhas encontradas em 2021 no DrayTek VigorConnect (
CVE-2021-20123
e
CVE-2021-20124
, pontuações CVSS: 7.5) que poderiam ser exploradas para baixar arquivos arbitrários do sistema operacional subjacente com privilégios de root.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...