OSGeo GeoServer GeoTools’da yakın zamanda açıklanan bir güvenlik açığı, kripto para madencileri, Condi ve JenX gibi botnet kötü amaçlı yazılımları ve SideWalk adı verilen bilinen bir arka kapıyı dağıtmak için yapılan çok sayıda kampanyanın parçası olarak istismar edildi.
Güvenlik açığı, kötü niyetli kişilerin hassas örnekleri ele geçirmesine olanak tanıyabilecek kritik bir uzaktan kod yürütme hatasıdır (CVE-2024-36401, CVSS puanı: 9,8).
Temmuz ortasında, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), aktif istismara dair kanıtlara dayanarak bunu Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Shadowserver Foundation, 9 Temmuz 2024’ten itibaren bal tuzağı sensörlerine yönelik istismar girişimlerini tespit ettiğini söyledi.
Fortinet FortiGuard Labs’a göre, bu açığın, istismar sonrası faaliyetler için bir komuta ve kontrol (C2) sunucusuyla bağlantı kurmak üzere tasarlanmış ters proxy sunucusu GOREVERSE’i dağıttığı gözlemlendi.
Bu saldırıların Hindistan’daki BT servis sağlayıcılarını, ABD’deki teknoloji şirketlerini, Belçika’daki kamu kurumlarını ve Tayland ile Brezilya’daki telekomünikasyon şirketlerini hedef aldığı söyleniyor.
GeoServer sunucusu ayrıca Condi ve JenX adı verilen bir Mirai botnet varyantı ile en az dört tür kripto para madencisi için bir kanal görevi gördü; bunlardan biri, Hindistan Yeminli Mali Müşavirler Enstitüsü’nü (ICAI) taklit eden sahte bir web sitesinden alındı.
Bu açığı kullanan saldırı zincirlerinin belki de en dikkat çekeni, APT41 olarak takip edilen Çinli bir tehdit aktörüne atfedilen SideWalk adlı gelişmiş bir Linux arka kapısını yayan zincirdir.
Başlangıç noktası, ARM, MIPS ve X86 mimarileri için ELF ikili dosyalarını indirmekten sorumlu bir kabuk betiğidir; bu da şifrelenmiş yapılandırmadan C2 sunucusunu çıkarır, ona bağlanır ve tehlikeye atılmış cihazda yürütülmek üzere daha fazla komut alır.
Bu, saldırganın kontrolündeki sunucudan ana bilgisayara şifreli bir tünel oluşturarak tespit edilmekten kaçınmak için Hızlı Ters Proxy (FRP) olarak bilinen meşru bir aracın çalıştırılmasını içerir; bu, kalıcı uzaktan erişime, veri sızdırmaya ve yük dağıtımına olanak tanır.
Güvenlik araştırmacıları Cara Lin ve Vincent Li, “Birincil hedeflerin Güney Amerika, Avrupa ve Asya olmak üzere üç ana bölgeye dağılmış olduğu görülüyor” dedi.
“Bu coğrafi dağılım, karmaşık ve geniş kapsamlı bir saldırı kampanyasının varlığını, potansiyel olarak bu çeşitli pazarlarda yaygın olan güvenlik açıklarını istismar etmeyi veya bu alanlarda yaygın olan belirli endüstrileri hedef almayı öneriyor.”
Gelişme, CISA’nın bu hafta KEV kataloğuna DrayTek VigorConnect’te 2021’de bulunan iki açığı (CVE-2021-20123 ve CVE-2021-20124, CVSS puanları: 7,5) eklemesiyle ortaya çıktı; bu açıklar, kök ayrıcalıklarına sahip temel işletim sisteminden keyfi dosyaları indirmek için kullanılabiliyordu.