Una recente vulnerabilità di sicurezza nel software OSGeo GeoServer GeoTools è stata sfruttata in diverse campagne per distribuire miner di criptovalute, malware botnet come Condi e JenX, e una backdoor nota come SideWalk. La vulnerabilità di sicurezza è un bug critico di esecuzione di codice remoto (CVE-2024-36401, punteggio CVSS: 9.8) che potrebbe permettere agli attori malintenzionati di prendere il controllo delle istanze vulnerabili.

A metà luglio, l'Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity degli Stati Uniti (CISA) ha aggiunto questa vulnerabilità al proprio catalogo di Vulnerabilità Sfruttate Conosciute (KEV), basandosi su prove di attacchi attivi. La Shadowserver Foundation ha rilevato tentativi di sfruttamento contro i propri sensori honeypot a partire dal 9 luglio 2024.

Distribuzione di GOREVERSE

Secondo Fortinet FortiGuard Labs, la vulnerabilità è stata utilizzata per distribuire GOREVERSE, un server proxy inverso progettato per stabilire una connessione con un server di comando e controllo (C2) per attività post-exploit. Gli attacchi sembrano mirare a fornitori di servizi IT in India, aziende tecnologiche negli Stati Uniti, enti governativi in Belgio, e compagnie di telecomunicazioni in Thailandia e Brasile.

Utilizzo di GeoServer

Il server GeoServer è stato utilizzato anche come canale per Condi e una variante della botnet Mirai chiamata JenX, oltre a quattro tipi di miner di criptovalute, uno dei quali viene scaricato da un sito web falso che imita l'Istituto dei Revisori Contabili dell'India (ICAI).

Backdoor SideWalk

Forse il più notevole tra gli attacchi che sfruttano questa vulnerabilità è quello che propaga una backdoor avanzata per Linux chiamata SideWalk, attribuita a un attore di minacce cinese noto come APT41. Il punto di partenza è uno script di shell che scarica i binari ELF per le architetture ARM, MIPS e X86, che a loro volta estraggono il server C2 da una configurazione criptata, si connettono ad esso e ricevono ulteriori comandi per l'esecuzione sul dispositivo compromesso.

Questo include l'esecuzione di uno strumento legittimo noto come Fast Reverse Proxy (FRP) per evitare il rilevamento creando un tunnel criptato dal host al server controllato dall'attaccante, permettendo un accesso remoto persistente, l'esfiltrazione di dati e la distribuzione di payload.

Obiettivi geografici

"I principali obiettivi sembrano essere distribuiti in tre regioni principali: Sud America, Europa e Asia," hanno detto i ricercatori di sicurezza Cara Lin e Vincent Li. "Questa diffusione geografica suggerisce una campagna di attacco sofisticata e di ampio respiro, potenzialmente sfruttando vulnerabilità comuni a questi mercati diversi o mirando a specifiche industrie prevalenti in queste aree."

Lo sviluppo arriva mentre CISA questa settimana ha aggiunto al proprio catalogo KEV due vulnerabilità trovate nel 2021 in DrayTek VigorConnect (CVE-2021-20123 e CVE-2021-20124, punteggi CVSS: 7.5) che potrebbero essere sfruttate per scaricare file arbitrari dal sistema operativo sottostante con privilegi di root.