行業動态

OSGeo GeoServer GeoTools 中最近披露的(de)安全漏洞已被利用爲(wéi / wèi)多個(gè)活動的(de)一(yī / yì ／yí)部分，以(yǐ)提供加密貨币礦工、Condi 和(hé / huò) JenX 等網絡攻擊軟件，以(yǐ)及一(yī / yì ／yí)個(gè)名爲(wéi / wèi) SideWalk 的(de)已知後門。

該安全漏洞是(shì)一(yī / yì ／yí)個(gè)嚴重的(de)遠程代碼執行錯誤（CVE-2024-36401，CVSS 評分：9.8），可能允許惡意行爲(wéi / wèi)者接管易受攻擊的(de)實例。7 月中旬，美國(guó)網絡安全和(hé / huò)基礎設施安全局 （CISA） 根據主動利用的(de)證據，将其添加到(dào)已知利用漏洞 （KEV） 目錄中。Shadowserver Foundation 表示，從 2024 年 7 月 9 日開始，它檢測到(dào)針對其蜜罐傳感器的(de)漏洞利用企圖。

據 Fortinet FortiGuard Labs 稱，已觀察到(dào)該漏洞被用于(yú)交付 GOREVERSE，這(zhè)是(shì)一(yī / yì ／yí)種反向代理服務器，旨在(zài)與命令和(hé / huò)控制 （C2） 服務器建立連接，以(yǐ)進行利用後活動。據說(shuō)這(zhè)些攻擊的(de)目标是(shì)印度的(de) IT 服務提供商、美國(guó)的(de)科技公司、比利時(shí)的(de)政府實體以(yǐ)及泰國(guó)和(hé / huò)巴西的(de)電信公司。

GeoServer 服務器還充當了(le／liǎo) Condi 和(hé / huò)名爲(wéi / wèi) JenX 的(de) Mirai 僵屍網絡變體以(yǐ)及至少四種類型的(de)加密貨币礦工的(de)渠道(dào)，其中一(yī / yì ／yí)種是(shì)從冒充印度特許會計師協會 （ICAI） 的(de)虛假網站中檢索到(dào)的(de)。

也(yě)許利用該漏洞的(de)攻擊鏈中最引人(rén)注目的(de)是(shì)傳播名爲(wéi / wèi) SideWalk 的(de)高級 Linux 後門的(de)攻擊鏈，該後門歸因于(yú)被跟蹤爲(wéi / wèi) APT41 的(de)中國(guó)威脅行爲(wéi / wèi)者。

起點是(shì)一(yī / yì ／yí)個(gè) shell 腳本，該腳本負責下載 ARM、MIPS 和(hé / huò) X86 架構的(de) ELF 二進制文件，該腳本反過來(lái)又從加密配置中提取 C2 服務器，連接到(dào)該服務器，并接收進一(yī / yì ／yí)步的(de)命令，以(yǐ)便在(zài)受感染的(de)設備上(shàng)執行。

這(zhè)包括運行稱爲(wéi / wèi)快速反向代理 （FRP） 的(de)合法工具，通過創建從主機到(dào)攻擊者控制的(de)服務器的(de)加密隧道(dào)來(lái)逃避檢測，從而(ér)允許持續的(de)遠程訪問、數據洩露和(hé / huò)有效負載部署。

在(zài)此之(zhī)前，CISA 本周在(zài)其 KEV 目錄中添加了(le／liǎo) 2021 年在(zài) DrayTek VigorConnect 中發現的(de)兩個(gè)缺陷（CVE-2021-20123 和(hé / huò) CVE-2021-20124，CVSS 評分：7.5），這(zhè)些漏洞可能被利用以(yǐ) root 權限從底層操作系統下載任意文件。

（來(lái)源：安全客）