黑客利用 GeoServer 漏洞攻陷美国联邦民用机构

HackerNews 编译，转载请注明出处：

美国网络安全和基础设施安全局（CISA）披露，威胁行为者利用 GeoServer 中一个未修补的漏洞，攻破了一家美国联邦民用机构的网络。

攻击者利用的漏洞编号为 CVE-2024-36401（CVSS 评分 9.8），这是一个严重的远程代码执行（RCE）漏洞。该漏洞于 2024 年 6 月 30 日被公开，多名研究人员随后在网上发布了概念验证（PoC）利用代码。[1, 2]

GeoServer 是一款开源服务器，允许用户共享和编辑地理空间数据。2024 年 7 月中旬，CISA 已将该漏洞列入其“已知被利用漏洞”（KEV）目录。

在一起事件中，该联邦文职机构的终端检测与响应（EDR）工具在 7 月 11 日检测到潜在恶意活动，CISA 随后展开应急响应调查。结果发现，攻击者早在三周前就通过该漏洞入侵了机构的 GeoServer。

根据 CISA 公布的通告：“CISA 在该联邦机构展开事件响应工作，是因为其 EDR 工具发现了潜在的恶意活动。调查发现，网络威胁行为者通过利用 CVE-2024-36401 攻陷了一个 GeoServer。在随后的三周时间里，黑客再次利用该漏洞攻入第二个 GeoServer，并横向移动至另外两台服务器。”

攻击者横向扩散至一台 Web 服务器和一台 SQL 服务器，部署了 WebShell，以及用于持久化、远程访问和提权的脚本。同时，他们还使用 “以合法工具作恶”（LOTL） 技术来规避检测。

调查显示，攻击者先用 Burp 工具扫描对外开放的 GeoServer，然后通过虚拟专用服务器（VPS）和公开工具利用该漏洞，在两台 GeoServer 上实现远程代码执行。他们通过 eval 注入上传 WebShell，创建定时任务（cron）和新账户以维持持久化，并尝试使用公开的 dirtycow 提权工具提升权限。

CISA 分享了他们总结的经验教训：

第一，漏洞未能及时修复；

第二，机构未对事件响应计划（IRP）进行测试或演练，IRP 也未能确保能及时引入第三方并授予必要权限；

消息来源：securityaffairs；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文