Uma falha de segurança recentemente divulgada no OSGeo GeoServer GeoTools foi explorada como parte de múltiplas campanhas para entregar mineradores de criptomoedas, malware botnet como Condi e JenX, além de um backdoor conhecido como SideWalk.
A vulnerabilidade de segurança é um bug crítico de execução remota de código (
CVE-2024-36401
, pontuação CVSS: 9.8), que pode permitir que atores maliciosos assumam o controle de instâncias vulneráveis.
Em meados de julho, a Agência de Segurança e Infraestrutura de Cibersegurança dos EUA (CISA) adicionou-a ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), com base em evidências de exploração ativa.
A Fundação Shadowserver afirmou que detectou tentativas de exploração contra seus sensores honeypot a partir de 9 de julho de 2024.
De acordo com o Fortinet FortiGuard Labs, observou-se que a falha entrega o GOREVERSE, um servidor proxy reverso projetado para estabelecer uma conexão com um servidor de comando e controle (C2) para atividades pós-exploração.
Diz-se que esses ataques visam provedores de serviços de TI na Índia, empresas de tecnologia nos EUA, entidades governamentais na Bélgica e empresas de telecomunicações na Tailândia e no Brasil.
O servidor GeoServer também serviu como um conduto para Condi e uma variante de botnet Mirai apelidada de JenX, e pelo menos quatro tipos de mineradores de criptomoedas, um dos quais é recuperado de um website falso que se passa pelo Instituto de Contadores Certificados da Índia (ICAI).
Talvez a cadeia de ataques mais notável que aproveita a falha seja a que propaga um backdoor Linux avançado chamado SideWalk, atribuído a um ator de ameaça chinês rastreado como APT41.
O ponto de partida é um script shell responsável por baixar os binários ELF para arquiteturas ARM, MIPS e X86, que, por sua vez, extraem o servidor C2 de uma configuração criptografada, conectam-se a ele e recebem mais comandos para execução no dispositivo comprometido.
Isso inclui executar uma ferramenta legítima conhecida como Fast Reverse Proxy (FRP) para evadir detecção, criando um túnel criptografado do host para o servidor controlado pelo atacante, permitindo acesso remoto persistente, exfiltração de dados e implantação de payload.
"Os alvos principais parecem estar distribuídos por três principais regiões: América do Sul, Europa e Ásia," disseram os pesquisadores de segurança Cara Lin e Vincent Li.
Essa dispersão geográfica sugere uma campanha de ataque sofisticada e de amplo alcance, potencialmente explorando vulnerabilidades comuns a esses mercados diversificados ou visando indústrias específicas prevalentes nessas áreas.
O desenvolvimento ocorre enquanto a CISA adicionou esta semana ao seu catálogo KEV duas falhas encontradas em 2021 no DrayTek VigorConnect (
CVE-2021-20123
e
CVE-2021-20124
, pontuações CVSS: 7.5) que poderiam ser exploradas para baixar arquivos arbitrários do sistema operacional subjacente com privilégios de root.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...