Uma falha de segurança recentemente divulgada no OSGeo GeoServer GeoTools foi explorada como parte de várias campanhas para entregar mineradores de criptomoedas, malware de botnet como Condi e JenX, e um backdoor conhecido chamado SideWalk.
A vulnerabilidade de segurança é um bug crítico de execução remota de código (CVE-2024-36401, pontuação CVSS: 9,8) que pode permitir que agentes mal-intencionados assumam o controle de instâncias suscetíveis.
Em meados de julho, a US Cybersecurity and Infrastructure Safety Company (CISA) adicionou-o ao seu catálogo Recognized Exploited Vulnerabilities (KEV), com base em evidências de exploração ativa. A Shadowserver Basis disse que detectou tentativas de exploração contra seus sensores honeypot a partir de 9 de julho de 2024.
De acordo com o Fortinet FortiGuard Labs, a falha foi observada no GOREVERSE, um servidor proxy reverso projetado para estabelecer uma conexão com um servidor de comando e controle (C2) para atividades pós-exploração.
Dizem que esses ataques têm como alvo provedores de serviços de TI na Índia, empresas de tecnologia nos EUA, entidades governamentais na Bélgica e empresas de telecomunicações na Tailândia e no Brasil.
O servidor GeoServer também serviu como um canal para o Condi e uma variante do botnet Mirai chamada JenX, e pelo menos quatro tipos de mineradores de criptomoedas, um dos quais é recuperado de um web site falso que se passa pelo Instituto de Contadores Credenciados da Índia (ICAI).
Talvez a mais notável das cadeias de ataque que aproveitam a falha seja aquela que propaga um backdoor Linux avançado chamado SideWalk, que é atribuído a um agente de ameaça chinês rastreado como APT41.
O ponto de partida é um script de shell responsável por baixar os binários ELF para arquiteturas ARM, MIPS e X86, que, por sua vez, extrai o servidor C2 de uma configuração criptografada, conecta-se a ele e recebe outros comandos para execução no dispositivo comprometido.
Isso inclui executar uma ferramenta legítima conhecida como Quick Reverse Proxy (FRP) para evitar a detecção criando um túnel criptografado do host para o servidor controlado pelo invasor, permitindo acesso remoto persistente, exfiltração de dados e implantação de carga útil.
“Os principais alvos parecem estar distribuídos em três regiões principais: América do Sul, Europa e Ásia”, disseram os pesquisadores de segurança Cara Lin e Vincent Li.
“Essa distribuição geográfica sugere uma campanha de ataque sofisticada e de longo alcance, potencialmente explorando vulnerabilidades comuns a esses mercados diversos ou visando setores específicos predominantes nessas áreas.”
O desenvolvimento ocorre enquanto a CISA adicionou esta semana ao seu catálogo KEV duas falhas encontradas em 2021 no DrayTek VigorConnect (CVE-2021-20123 e CVE-2021-20124, pontuações CVSS: 7,5) que poderiam ser exploradas para baixar arquivos arbitrários do sistema operacional subjacente com privilégios de root.