Vulnerabilidad crítica de GeoServer explotada en campaña global de malware

Iniciado por AXCESS, Septiembre 07, 2024, 06:30:18 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Septiembre 07, 2024, 06:30:18 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El equipo de investigación de amenazas de FortiGuard Labs ha descubierto que los atacantes están explotando activamente una vulnerabilidad descubierta recientemente (CVE-2024-36401, puntuación CVSS: 9,8 ) en las versiones de GeoServer anteriores a 2.23.6, 2.24.4 y 2.25.2. Esta falla crítica permite a los atacantes tomar el control de los sistemas vulnerables de forma remota, lo que puede dar lugar a una variedad de actividades maliciosas.

GeoServer es un servidor de software de código abierto creado en Java que permite a los usuarios compartir y administrar datos geoespaciales. Esta vulnerabilidad de OSGeo GeoServer GeoTools se identificó el 1 de julio de 2024. Según se informa, los atacantes obtienen acceso inicial mediante la elaboración de solicitudes con un formato especial para explotar la falla en los parámetros de solicitud de GeoServer. Esto les permite ejecutar código arbitrario en el sistema vulnerable. Una vez dentro, ejecutan una serie de pasos para establecer la persistencia, implementar malware y llevar a cabo sus actividades maliciosas.

Los atacantes recuperan scripts maliciosos de servidores remotos, que a menudo contienen instrucciones para descargar y ejecutar otro malware, como GOREVERSE, SideWalk, JenX, Condi Botnet y mineros de criptomonedas como XMRig, según los objetivos de los atacantes. El análisis de telemetría de la URL de descarga del script revela un patrón concentrado de infecciones, principalmente dirigidas a Sudamérica, Europa y Asia, lo que indica una campaña de ataque sofisticada.

GOREVERSE establece un servidor proxy inverso, SideWalk es una puerta trasera de Linux a menudo vinculada al grupo de piratería APT41, JenX es una variante de la botnet Mirai, Condi Botnet es otra botnet DDoS y los mineros de criptomonedas secuestran recursos informáticos para beneficio de los atacantes.

Algunos programas maliciosos, como SideWalk, crean puertas traseras en el sistema comprometido y roban datos confidenciales. Estas puertas traseras permiten a los atacantes mantener el acceso persistente, incluso después de que se resuelva la brecha inicial. Otros programas maliciosos, como taskhost.exe, pueden crear servicios o tareas programadas para garantizar la ejecución automática al iniciar el sistema.

Las redes de bots como JenX y Condi pueden utilizarse para lanzar ataques DDoS contra sistemas o redes específicos. Además, los mineros de monedas utilizan los recursos del sistema comprometido para extraer criptomonedas para beneficio de los atacantes, mientras que la red de bots Mirai puede escanear las redes en busca de dispositivos vulnerables e intentar infectarlos, extendiendo el alcance del ataque.

Además, los atacantes pueden lograr RCE (ejecución remota de código) utilizando herramientas como GOREVERSE para ejecutar comandos en el sistema comprometido, lo que les permite comprometerlo y controlarlo aún más.

Según la publicación del blog de FortiGuard Labs compartida con No tienes permitido ver enlaces. Registrate o Entra a tu cuenta antes de su publicación el jueves, la campaña de ataque parece estar dirigida a una amplia gama de organizaciones en diferentes regiones, incluidas:

Proveedores de servicios de TI en India
Entidades gubernamentales en Bélgica
Empresas de tecnología en los EE. UU.
Empresas de telecomunicaciones en Tailandia y Brasil.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario