GeoServer, coğrafi verilerin paylaşımı için açık kaynaklı bir sunucudur ve bu açık kaynaklı yazılım sunucusu Java ile yazılmıştır.
Açık standartları kullanarak herhangi bir büyük mekansal veri kaynağından veri yayınlar. GeoServer ekip çalışması için tasarlanmıştır ve kullanıcıların coğrafi verileri paylaşmasına, işlemesine ve düzenlemesine olanak tanır.
Fortinet’teki siber güvenlik araştırmacıları, bilgisayar korsanlarının kötü amaçlı yazılım dağıtmak için GeoServer RCE güvenlik açığını kullandığını keşfetti ve güvenlik açığı “CVE-2024-36401” olarak izlendi.
CVE-2024-36401, CVSS puanı 9,8 olan kritik bir kusurdur. Açık Coğrafi Uzamsal Konsorsiyum (OGC) Web Özellik Hizmeti (WFS) ve Web Kapsam Hizmeti (WCS) standartlarının kötü tasarımı nedeniyle, kusur yapılandırılmış saldırı girişi yoluyla kimliği doğrulanmamış harici komut yürütme istismarını kolaylaştırır.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
GeoServer RCE Güvenlik Açığı
Farklı tehdit aktörleri bu güvenlik açığından yararlanarak kötü amaçlı yazılımları farklı ülke ve bölgelere yaydılar.
Dikkat çeken kötü amaçlı yazılımlardan bazıları, ters proxy aracı olan GOREVERSE ve APT41 tarafından geliştirilen bir Linux arka kapısı olan SideWalk’tur. Bunun dışında, kötü amaçlı yazılım trafiği gizlemek ve C2 iletişimleri için ChaCha20 ve XOR şifrelemesini kullandı.
Tehdit aktörleri, kötü amaçlı verileri meşru trafikle maskelemek ve tespit edilme olasılığını azaltmak için Hızlı Ters Proxy (FRP) aracını kullandı.
Saldırıların sonucunda, hedeflenen aşağıdaki CPU mimarileriyle çalışmak üzere tasarlanan XMRig de dahil olmak üzere bir dizi farklı kripto para madenciliği yazılımı kuruldu:
Fortinet raporunda, bu madencilerin S gibi havuzlara bağlandığı belirtiliyorupportXMR ve kullanılan betikler bulut izleme aracı uygulamalarını kaldırmak ve güvenlik özelliklerini devre dışı bırakmak için diğer araçları kullanır.
Farklı saldırganlar, DNS sorguları, HTTP dosya sunucuları, cron işleri gibi birden fazla enfeksiyon yöntemi kullandılar; bu şeyler, savunmasız sistemlerde ihlal ve bundan para kazanma eyleminin karmaşıklığını ve çok boyutlu doğasını ortaya koyuyor.
Bu kritik açığı kapatmak için orijinal XPath ifade değerlendiricisi, güvenli kabul edilen “JXPathUtils.newSafeContext” fonksiyonuyla değiştirildi.
Ek koruma için kuruluşlar, yazılımların her zaman güncel ve yamalanmış olduğundan emin olmak, tehditlere karşı gözetim araçlarının mevcut olduğundan emin olmak ve ayrıca erişimin çok sınırlı olduğundan emin olmak gibi ek önlemler almalıdır.
Ancak tüm bu adımlar, potansiyel istismarlarla ilişkili riskleri azaltmak açısından kritik öneme sahiptir.
Aslında, bu tür endişeler, GeoServer ortamları kullanıma sunulmadan önce kullanıcılar tarafından çözülebilir ve dolayısıyla coğrafi veri altyapısı tehlikelerden ve tehditlerden korunduğu gibi, bu altyapının açık kaynaklı bir altyapı olarak işlevselliği de korunmuş olur.
Güvenlik Ekibiniz için Ücretsiz Olay Müdahale Planı Şablonunu İndirin – Ücretsiz İndir