行(xíng)業(yè)動态

OSGeo GeoServer GeoTools 中最近披露的(de)安全漏洞已被利用(yòng)爲多個(gè)活動的(de)一部分(fēn)，以提供加密貨币礦工(gōng)、Condi 和(hé) JenX 等網絡攻擊軟件(jiàn)，以及一個(gè)名爲 SideWalk 的(de)已知後門。

該安全漏洞是一個(gè)嚴重的(de)遠程代碼執行(xíng)錯誤（CVE-2024-36401，CVSS 評分(fēn)：9.8），可(kě)能(néng)允許惡意行(xíng)爲者接管易受攻擊的(de)實例。7 月(yuè)中旬，美(měi)國網絡安全和(hé)基礎設施安全局 （CISA） 根據主動利用(yòng)的(de)證據，将其添加到(dào)已知利用(yòng)漏洞 （KEV） 目錄中。Shadowserver Foundation 表示，從 2024 年 7 月(yuè) 9 日開(kāi)始，它檢測到(dào)針對其蜜罐傳感器(qì)的(de)漏洞利用(yòng)企圖。

據 Fortinet FortiGuard Labs 稱，已觀察到(dào)該漏洞被用(yòng)于交付 GOREVERSE，這是一種反向代理(lǐ)服務器(qì)，旨在與命令和(hé)控制(zhì) （C2） 服務器(qì)建立連接，以進行(xíng)利用(yòng)後活動。據說這些攻擊的(de)目标是印度的(de) IT 服務提供商、美(měi)國的(de)科技公司、比利時的(de)政府實體以及泰國和(hé)巴西(xī)的(de)電信公司。

GeoServer 服務器(qì)還充當了 Condi 和(hé)名爲 JenX 的(de) Mirai 僵屍網絡變體以及至少(shǎo)四種類型的(de)加密貨币礦工(gōng)的(de)渠道，其中一種是從冒充印度特許會(huì)計(jì)師(shī)協會(huì) （ICAI） 的(de)虛假網站中檢索到(dào)的(de)。

也(yě)許利用(yòng)該漏洞的(de)攻擊鏈中最引人(rén)注目的(de)是傳播名爲 SideWalk 的(de)高(gāo)級 Linux 後門的(de)攻擊鏈，該後門歸因于被跟蹤爲 APT41 的(de)中國威脅行(xíng)爲者。

起點是一個(gè) shell 腳本，該腳本負責下載 ARM、MIPS 和(hé) X86 架構的(de) ELF 二進制(zhì)文(wén)件(jiàn)，該腳本反過來又(yòu)從加密配置中提取 C2 服務器(qì)，連接到(dào)該服務器(qì)，并接收進一步的(de)命令，以便在受感染的(de)設備上(shàng)執行(xíng)。

這包括運行(xíng)稱爲快速反向代理(lǐ) （FRP） 的(de)合法工(gōng)具，通過創建從主機到(dào)攻擊者控制(zhì)的(de)服務器(qì)的(de)加密隧道來逃避檢測，從而允許持續的(de)遠程訪問、數據洩露和(hé)有(yǒu)效負載部署。

在此之前，CISA 本周在其 KEV 目錄中添加了 2021 年在 DrayTek VigorConnect 中發現的(de)兩個(gè)缺陷（CVE-2021-20123 和(hé) CVE-2021-20124，CVSS 評分(fēn)：7.5），這些漏洞可(kě)能(néng)被利用(yòng)以 root 權限從底層操作系統下載任意文(wén)件(jiàn)。

（來源：安全客）