Una falla de seguridad recientemente revelada en OSGeo GeoServer GeoTools ha sido explotada en múltiples campañas para ofrecer mineros de criptomonedas, malware de botnet como Condi y JenX, y una puerta trasera conocida llamada SideWalk.
La vulnerabilidad de seguridad es un error crítico de ejecución remota de código (CVE-2024-36401, puntuación CVSS: 9,8) que podría permitir a actores malintencionados tomar el control de instancias confidenciales.
A mediados de julio, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) la añadió a su catálogo de vulnerabilidades explotadas conocidas (KEV), basándose en pruebas de explotación activa. La Fundación Shadowserver dijo que detectó intentos de explotación contra sus sensores honeypot a partir del 9 de julio de 2024.
Según Fortinet FortiGuard Labs, la falla fue observado proporcionar GOREVERSE, un servidor proxy inverso diseñado para establecer una conexión con un servidor de comando y control (C2) para la actividad posterior a la explotación.
Según se informa, estos ataques se dirigen a proveedores de servicios de TI en la India, empresas de tecnología en los Estados Unidos, entidades gubernamentales en Bélgica y empresas de telecomunicaciones en Tailandia y Brasil.
El GeoServer también sirvió como conducto para Condi y una variante de la botnet Mirai llamada JenX, así como para al menos cuatro tipos de mineros de criptomonedas, uno de los cuales se obtiene de un sitio web falso que se hace pasar por el Instituto de Contadores Públicos de la India ( ICAI).
Quizás la más notable de las cadenas de ataques que explotan esta falla es la que propaga una puerta trasera avanzada de Linux llamada SideWalk, atribuida a un actor de amenazas chino identificado como APT41.
El punto de partida es un script de shell responsable de descargar binarios ELF para arquitecturas ARM, MIPS y X86, que, a su vez, extrae el servidor C2 de una configuración cifrada, se conecta a él y recibe más comandos para ejecutar en el dispositivo comprometido.
Esto incluye ejecutar una herramienta legítima conocida como Fast Reverse Proxy (FRP) para evadir la detección mediante la creación de un túnel cifrado desde el host hasta el servidor controlado por el atacante, lo que permite el acceso remoto persistente, la filtración de datos y la implementación de carga útil.
“Los principales objetivos parecen estar repartidos en tres regiones principales: América del Sur, Europa y Asia”, dijeron los investigadores de seguridad Cara Lin y Vincent Li.
“Esta distribución geográfica sugiere una campaña de ataque sofisticada y a gran escala, que potencialmente explota vulnerabilidades comunes a estos diversos mercados o apunta a industrias específicas que prevalecen en estas áreas. »
El desarrollo se produce cuando CISA publica esta semana. agregado en su catálogo KEV dos defectos encontrar en 2021 en DrayTek VigorConnect (CVE-2021-20123 y CVE-2021-20124, puntuaciones CVSS: 7,5) que podrían ser explotado para descargar archivos arbitrarios desde el sistema operativo subyacente con privilegios de root.