Eine kürzlich bekannt gewordene Sicherheitslücke in OSGeo GeoServer GeoTools wurde im Rahmen mehrerer Kampagnen ausgenutzt, um Kryptowährungs-Miner, Botnet-Malware wie Condi und JenX sowie eine bekannte Backdoor namens SideWalk zu verbreiten.
Die Sicherheitslücke ist ein kritischer Fehler bei der Remotecodeausführung (CVE-2024-36401, CVSS-Score: 9,8), der es böswilligen Akteuren ermöglichen könnte, anfällige Instanzen zu übernehmen.
Mitte Juli nahm die US-Cybersicherheits- und Infrastrukturagentur (CISA) sie in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) auf, basierend auf Hinweisen auf eine aktive Ausnutzung. Die Shadowserver Foundation gab an, dass sie ab dem 9. Juli 2024 Versuche zur Ausnutzung ihrer Honeypot-Sensoren entdeckt habe.
Laut Fortinet FortiGuard Labs wurde beobachtet, dass der Fehler GOREVERSE liefert, einen Reverse-Proxy-Server, der entwickelt wurde, um eine Verbindung mit einem Command-and-Control (C2)-Server für Aktivitäten nach der Ausnutzung herzustellen.
Diese Angriffe sollen sich gegen IT-Dienstleister in Indien, Technologieunternehmen in den USA, staatliche Einrichtungen in Belgien und Telekommunikationsunternehmen in Thailand und Brasilien richten.
Der GeoServer-Server diente auch als Kanal für Condi und eine Mirai-Botnet-Variante namens JenX sowie für mindestens vier Arten von Kryptowährungs-Minern, von denen einer von einer gefälschten Website abgerufen wird, die sich als Institute of Chartered Accountants of India (ICAI) ausgibt.
Die vielleicht bemerkenswerteste Angriffskette, die den Fehler ausnutzt, ist die, die eine fortschrittliche Linux-Backdoor namens SideWalk verbreitet, die einem chinesischen Bedrohungsakteur namens APT41 zugeschrieben wird.
Der Ausgangspunkt ist ein Shell-Skript, das für das Herunterladen der ELF-Binärdateien für ARM-, MIPS- und X86-Architekturen verantwortlich ist, die wiederum den C2-Server aus einer verschlüsselten Konfiguration extrahieren, sich mit ihm verbinden und weitere Befehle zur Ausführung auf dem kompromittierten Gerät empfangen.
Dies beinhaltet die Ausführung eines legitimen Tools namens Fast Reverse Proxy (FRP), um die Erkennung zu umgehen, indem ein verschlüsselter Tunnel vom Host zum vom Angreifer kontrollierten Server erstellt wird, der dauerhaften Fernzugriff, Datenexfiltration und die Bereitstellung von Nutzdaten ermöglicht.
„Die Hauptziele scheinen sich über drei Hauptregionen zu verteilen: Südamerika, Europa und Asien“, sagten die Sicherheitsforscher Cara Lin und Vincent Li.
„Diese geografische Streuung deutet auf eine ausgeklügelte und weitreichende Angriffskampagne hin, die möglicherweise Schwachstellen ausnutzt, die diesen unterschiedlichen Märkten gemeinsam sind, oder auf bestimmte Branchen abzielt, die in diesen Gebieten vorherrschen.“
Die Entwicklung erfolgt, nachdem die CISA diese Woche ihren KEV-Katalog um zwei im Jahr 2021 in DrayTek VigorConnect gefundene Schwachstellen (CVE-2021-20123 und CVE-2021-20124, CVSS-Scores: 7,5) erweitert hat, die ausgenutzt werden könnten, um beliebige Dateien mit Root-Rechten vom zugrunde liegenden Betriebssystem herunterzuladen.