Hackers richten zich op kwetsbaarheid GeoServer om backdoors en botnetmalware te verspreiden

Een onlangs onthulde beveiligingsfout in OSGeo GeoServer GeoTools is uitgebuit als onderdeel van meerdere campagnes om cryptocurrency miners, botnet-malware zoals Condi en JenX en een bekende backdoor genaamd SideWalk te verspreiden.

Het beveiligingslek is een kritieke bug met betrekking tot de uitvoering van code op afstand (CVE-2024-36401, CVSS-score: 9,8) waarmee kwaadwillenden vatbare instanties kunnen overnemen.

Medio juli voegde de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) het toe aan zijn Known Exploited Vulnerabilities (KEV) catalogus, op basis van bewijs van actieve exploitatie. De Shadowserver Foundation zei dat het vanaf 9 juli 2024 exploitatiepogingen tegen zijn honeypot-sensoren detecteerde.

Volgens Fortinet FortiGuard Labs is het lek aangetroffen in GOREVERSE, een reverse proxyserver die is ontworpen om een ​​verbinding tot stand te brengen met een command-and-control (C2)-server voor post-exploitatie-activiteiten.

Deze aanvallen zouden gericht zijn op IT-dienstverleners in India, technologiebedrijven in de VS, overheidsinstellingen in België en telecommunicatiebedrijven in Thailand en Brazilië.

De GeoServer-server heeft ook gediend als kanaal voor Condi en een Mirai-botnetvariant met de naam JenX, en ten minste vier soorten cryptocurrency-miners, waarvan er één is opgehaald van een nepwebsite die zich voordoet als het Institute of Chartered Accountants of India (ICAI).

De meest opvallende aanvalsketen die gebruikmaakt van dit lek is wellicht de aanvalsketen die een geavanceerde Linux-backdoor verspreidt met de naam SideWalk. Deze wordt toegeschreven aan een Chinese dreigingsactor die bekendstaat als APT41.

Het startpunt is een shellscript dat verantwoordelijk is voor het downloaden van de ELF-binaries voor ARM-, MIPS- en X86-architecturen. Dit script extraheert op zijn beurt de C2-server uit een gecodeerde configuratie, maakt er verbinding mee en ontvangt verdere opdrachten voor uitvoering op het gecompromitteerde apparaat.

Dit omvat het uitvoeren van een legitieme tool genaamd Fast Reverse Proxy (FRP) om detectie te omzeilen door een gecodeerde tunnel te creëren van de host naar de door de aanvaller gecontroleerde server. Dit maakt permanente externe toegang, data-exfiltratie en payload-implementatie mogelijk.

“De belangrijkste doelen lijken verspreid te zijn over drie hoofdregio’s: Zuid-Amerika, Europa en Azië”, aldus veiligheidsonderzoekers Cara Lin en Vincent Li.

“Deze geografische spreiding duidt op een geavanceerde en verstrekkende aanvalscampagne, die mogelijk misbruik maakt van kwetsbaarheden die veel voorkomen in deze uiteenlopende markten of die zich richt op specifieke sectoren die in deze gebieden voorkomen.”

De ontwikkeling volgt op de toevoeging van twee fouten aan de KEV-catalogus door CISA deze week. Deze fouten werden in 2021 gevonden in DrayTek VigorConnect (CVE-2021-20123 en CVE-2021-20124, CVSS-scores: 7,5). Deze fouten konden worden misbruikt om willekeurige bestanden te downloaden van het onderliggende besturingssysteem met root-rechten.

Thijs Van der Does