Kritik bir GeoServer güvenlik açığı (CVE-2024-36401) aktif olarak istismar ediliyor ve saldırganların kötü amaçlı yazılım dağıtımı, kripto para ele geçirme ve botnet saldırıları için sistemlerin kontrolünü ele geçirmesine olanak sağlıyor. Korunmaya devam etmek için GeoServer’ı en son sürüme güncelleyin.
FortiGuard Labs Tehdit Araştırma ekibi, saldırganların GeoServer’ın 2.23.6, 2.24.4 ve 2.25.2 öncesi sürümlerinde yakın zamanda keşfedilen bir güvenlik açığını (CVE-2024-36401, CVSS puanı: 9.8) aktif olarak kullandıklarını keşfetti. Bu kritik Bu kusur, saldırganların savunmasız sistemlerin kontrolünü uzaktan ele geçirmesine ve potansiyel olarak bir dizi kötü amaçlı aktiviteye yol açmasına olanak tanıyor.
GeoServer, kullanıcıların coğrafi verileri paylaşmasına ve yönetmesine olanak tanıyan Java’da oluşturulmuş açık kaynaklı bir yazılım sunucusudur. Bu OSGeo GeoServer GeoTools güvenlik açığı 1 Temmuz 2024’te tespit edildi. Bildirildiğine göre saldırganlar, GeoServer’ın istek parametrelerindeki açığı istismar etmek için özel olarak biçimlendirilmiş istekler oluşturarak ilk erişimi elde ediyor. Bu, savunmasız sistemde keyfi kod yürütmelerine olanak sağlıyor. İçeri girdikten sonra, kalıcılık sağlamak, kötü amaçlı yazılım dağıtmak ve kötü amaçlı faaliyetlerini yürütmek için bir dizi adım yürütüyorlar.
Saldırganlar, genellikle saldırganların hedeflerine bağlı olarak GOREVERSE, SideWalk, JenX, Condi Botnet ve XMRig gibi kripto para madencileri gibi diğer kötü amaçlı yazılımları indirme ve yürütme talimatları içeren kötü amaçlı komut dosyalarını uzak sunuculardan alır. Komut dosyası indirme URL’sinin telemetri analizi, öncelikle Güney Amerika, Avrupa ve Asya’yı hedefleyen yoğun bir enfeksiyon örüntüsü ortaya çıkarır ve bu da karmaşık bir saldırı kampanyasına işaret eder.
GOREVERSE ters proxy sunucusu kurar, SideWalk genellikle APT41 bilgisayar korsanlığı grubuyla ilişkilendirilen bir Linux arka kapısıdır, JenX Mirai botnetinin bir çeşididir, Condi Botnet başka bir DDoS botnetidir ve Kripto Para Madencileri saldırganların çıkarı için bilgisayar kaynaklarını ele geçirir.
SideWalk gibi bazı kötü amaçlı yazılımlar, tehlikeye atılan sistemde arka kapılar oluşturur ve hassas verileri çalar. Bu arka kapılar, saldırganların ilk ihlal çözüldükten sonra bile sürekli erişimi sürdürmesini sağlar. taskhost.exe gibi diğer kötü amaçlı yazılımlar, sistem başlatıldığında otomatik yürütmeyi sağlamak için hizmetler veya zamanlanmış görevler oluşturabilir.
JenX ve Condi gibi botnet’ler hedeflenen sistemlere veya ağlara karşı DDoS saldırıları başlatmak için kullanılabilir. Dahası, coin madencileri saldırganların kârı için kripto para madenciliği yapmak üzere tehlikeye atılan sistemin kaynaklarını kullanırken Mirai botnet’i ağları savunmasız cihazlar için tarayabilir ve onları enfekte etmeye çalışarak saldırı kapsamını yayabilir.
Ayrıca saldırganlar, GOREVERSE gibi araçları kullanarak tehlikeye atılmış sistemde komutlar yürüterek RCE’yi (uzaktan kod yürütme) gerçekleştirebilir ve bu sayede sistemi daha fazla tehlikeye atabilir ve kontrol edebilirler.
FortiGuard Labs’ın Perşembe günü yayınlanmadan önce Hackread.com ile paylaştığı blog yazısına göre, saldırı kampanyasının farklı bölgelerdeki çok çeşitli kuruluşları hedef aldığı görülüyor. Bunlar arasında şunlar yer alıyor:
- Hindistan’daki BT hizmet sağlayıcıları
- Belçika’daki hükümet kuruluşları
- ABD’deki teknoloji şirketleri
- Tayland ve Brezilya’daki telekomünikasyon şirketleri.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), 15 Temmuz’da bu açığı Bilinen İstismar Edilen Açıklar (KEV) kataloğuna ekledi. Kısa bir süre sonra FortiGuard Labs, kötü amaçlı yazılım yaymak için bu açığı hedef alan birden fazla kampanya gözlemledi. Neyse ki, 2.23.6, 2.24.4 ve 2.25.2 sürümlerinde ele alındı.
GeoServer kullanan kuruluşlar, en son sürüme güncelleme yaparak, kötü amaçlı faaliyetleri tespit edip engellemek için tehdit algılama araçları ve istihbaratı uygulayarak ve hassas verilere ve sistemlere yetkisiz erişimi kısıtlamak için güçlü erişim kontrolleri uygulayarak bu riskleri azaltabilir.
İLGİLİ KONULAR
- Sahte OnlyFans Kontrol Aracı, Bilgisayar Korsanlarını Kötü Amaçlı Yazılımla Bulaştırıyor
- Kötü Amaçlı Yazılım Kampanyası, Roblox Geliştiricilerine Saldırmak İçin NPM’yi Kullanıyor
- Sahte GlobalProtect VPN İndirmeleri WikiLoader Kötü Amaçlı Yazılımını Yayıyor
- WinRAR güvenlik açığı saldırganların uzaktan sistemleri ele geçirmesine olanak sağladı
- Bilgisayar korsanları, kötü amaçlı yazılım yüklemek için 19 yıllık WinRAR hatasını kullanıyor