欢迎访问苏州天锐科技官方网站
4008708893

黑客利用 GeoServer 漏洞植入后门和僵尸网络恶意软件

返回列表
2024年10月12日

      OSGeo GeoServer GeoTools 中最近披露的安全漏洞已被利用为多个活动的一部分,以提供加密货币矿工、Condi 和 JenX 等网络攻击软件,以及一个名为 SideWalk 的已知后门。

      该安全漏洞是一个严重的远程代码执行错误(CVE-2024-36401,CVSS 评分:9.8),可能允许恶意行为者接管易受攻击的实例。7 月中旬,美国网络安全和基础设施安全局 (CISA) 根据主动利用的证据,将其添加到已知利用漏洞 (KEV) 目录中。Shadowserver Foundation 表示,从 2024 年 7 月 9 日开始,它检测到针对其蜜罐传感器的漏洞利用企图。

      据 Fortinet FortiGuard Labs 称,已观察到该漏洞被用于交付 GOREVERSE,这是一种反向代理服务器,旨在与命令和控制 (C2) 服务器建立连接,以进行利用后活动。据说这些攻击的目标是印度的 IT 服务提供商、美国的科技公司、比利时的政府实体以及泰国和巴西的电信公司。

      GeoServer 服务器还充当了 Condi 和名为 JenX 的 Mirai 僵尸网络变体以及至少四种类型的加密货币矿工的渠道,其中一种是从冒充印度特许会计师协会 (ICAI) 的虚假网站中检索到的。

      也许利用该漏洞的攻击链中最引人注目的是传播名为 SideWalk 的高级 Linux 后门的攻击链,该后门归因于被跟踪为 APT41 的中国威胁行为者。

      起点是一个 shell 脚本,该脚本负责下载 ARM、MIPS 和 X86 架构的 ELF 二进制文件,该脚本反过来又从加密配置中提取 C2 服务器,连接到该服务器,并接收进一步的命令,以便在受感染的设备上执行。

      这包括运行称为快速反向代理 (FRP) 的合法工具,通过创建从主机到攻击者控制的服务器的加密隧道来逃避检测,从而允许持续的远程访问、数据泄露和有效负载部署。

      在此之前,CISA 本周在其 KEV 目录中添加了 2021 年在 DrayTek VigorConnect 中发现的两个缺陷(CVE-2021-20123 和 CVE-2021-20124,CVSS 评分:7.5),这些漏洞可能被利用以 root 权限从底层操作系统下载任意文件。

(来源:安全客)


公司信息
商 务:17712651850
售 后:13915515752
邮 箱:sales@rench.cn
邮 编:215000
地 址:苏州市工业园区独墅湖高教区仁爱路166号中国科学技术大学苏州研究院
Copyright © 2014-2019 苏州天锐信息科技有限公司 版权所有 苏ICP备2021010920号-1

苏公网安备 32059002003495号