黑客利用 GeoServer 漏洞植入后门和僵尸网络恶意软件

OSGeo GeoServer GeoTools 中最近披露的安全漏洞已被利用为多个活动的一部分，以提供加密货币矿工、Condi 和 JenX 等僵尸网络恶意软件，以及一个名为 SideWalk 的已知后门。

该安全漏洞是一个严重的远程代码执行错误（CVE-2024-36401，CVSS 评分：9.8），可能允许恶意行为者接管易受攻击的实例。7 月中旬，美国网络安全和基础设施安全局 （CISA） 根据主动利用的证据，将其添加到已知利用漏洞 （KEV） 目录中。Shadowserver Foundation 表示，从 2024 年 7 月 9 日开始，它检测到针对其蜜罐传感器的漏洞利用企图。

据 Fortinet FortiGuard Labs 称，已观察到该漏洞被用于交付 GOREVERSE，这是一种反向代理服务器，旨在与命令和控制 （C2） 服务器建立连接，以进行利用后活动。据说这些攻击的目标是印度的 IT 服务提供商、美国的科技公司、比利时的政府实体以及泰国和巴西的电信公司。

GeoServer 服务器还充当了 Condi 和名为 JenX 的 Mirai 僵尸网络变体以及至少四种类型的加密货币矿工的渠道，其中一种是从冒充印度特许会计师协会 （ICAI） 的虚假网站中检索到的。

也许利用该漏洞的攻击链中最引人注目的是传播名为 SideWalk 的高级 Linux 后门的攻击链，该后门归因于被跟踪为 APT41 的中国威胁行为者。

起点是一个 shell 脚本，该脚本负责下载 ARM、MIPS 和 X86 架构的 ELF 二进制文件，该脚本反过来又从加密配置中提取 C2 服务器，连接到该服务器，并接收进一步的命令，以便在受感染的设备上执行。

这包括运行称为快速反向代理 （FRP） 的合法工具，通过创建从主机到攻击者控制的服务器的加密隧道来逃避检测，从而允许持续的远程访问、数据泄露和有效负载部署。

在此之前，CISA 本周在其 KEV 目录中添加了 2021 年在 DrayTek VigorConnect 中发现的两个缺陷（CVE-2021-20123 和 CVE-2021-20124，CVSS 评分：7.5），这些漏洞可能被利用以 root 权限从底层操作系统下载任意文件。

（来源：安全客）