GeoServer の脆弱性 CVE-2024-36401 が FIX:マルウェアの展開などに悪用されている

Critical GeoServer Vulnerability Exploited in Global Malware Campaign

2024/09/06 HackRead — GeoServer に発見された致命的な脆弱性 CVE-2024-36401 (CVSS:9.8) だが、その悪用に成功した攻撃者に対して、マルウェアの展開/クリプトジャッキング/ボットネット攻撃のためのにステム制御を許すものとして懸念されている。ユーザーに対して推奨されるのは、GeoServer を最新バージョンに更新し、保護を維持することである。FortiGuard Labs の Threat Research チームが発見したのは、GeoServer の 2.23.6/2.24.4/2.25.2 未満に存在する脆弱性 CVE-2024-36401 が、攻撃者たちに積極的に悪用されているという状況である。この深刻な脆弱性を悪用する攻撃者たちは、脆弱なシステムをリモートから制御し、さまざまな悪意のアクションを実行する可能性を手にする。


GeoServer とは、Java で構築された OSS のソフトウェア・サーバであり、地理空間データの共有/管理を可能にするために活用されている。そして、2024年7月1日に確認された脆弱性 CVE-2024-36401 を悪用する攻撃者は、特別にフォーマットされたリクエストを作成することでイニシャル・アクセスを取得し、 GeoServer リクエスト・パラメータの欠陥を悪用する。

それにより、脆弱な GeoServer システム上で、任意のコード実行が可能になってしまう。続いて、侵入に成功した攻撃者たちは、一連の手順を実行して永続性を確立し、マルウェア展開などの悪意のアクティビティを可能にしていく。

一連の手順の中で攻撃者たちは、リモートのサーバから目的に応じた悪意のスクリプトを取得する。このスクリプトには、GOREVERSE/SideWalk/JenX/Condi Botnet/XMRig 暗号通貨マイナーなどの、他のマルウェアをダウンロード/実行するための指示が取り込まれている。

一連のスクリプトをダウンロードする URL テレメトリー分析により、主に南米/ヨーロッパ/アジアを標的とする、集中的な感染パターンが明らかになってきた。それが浮き彫りにするのは、洗練された攻撃キャンペーンの存在である。

GOREVERSE はリバース・プロキシサーバを確立し、SideWalk はハッキング・グループ APT41 に関連づけらる Linux バックドアを展開する。そして JenX は Mirai ボットネットの亜種を展開し、Cryptocurrency Miners はコンピューティング・リソースをハイジャックする。

SideWalk のように、侵害したシステムにバックドアを作成し、機密データを盗むマルウェアもある。これらのバックドアにより、攻撃者は最初の侵害が解決された後であっても、アクセスを維持できる。また、taskhost.exe のようなマルウェアは、サービスやスケジュールされたタスクを作成し、システム起動時に自動的に実行されるようにする。

JenX や Condi のようなボットネットは、標的のシステムやネットワークに対して DDoS 攻撃を仕掛けるために使用されることがある。さらに、コインマイナーは侵害したシステムのリソースを悪用して、攻撃者の利益のために暗号通貨を採掘する。その一方で、Mirai ボットネットは脆弱なデバイスのネットワークをスキャンして感染を試み、攻撃範囲を広げることができる。

さらに、攻撃者は GOREVERSE のようなツールを使用して RCE 攻撃を実行し、侵害したシステム上でコマンドを実行することで、さらなる侵害と制御を可能にしていく。

Hackread.com と共有された FortiGuard Labs の 9月5日のブログよると、この攻撃キャンペーンは、以下のような地域の幅広い組織を標的としているようだ:

  • インドの IT サービス・プロバイダー
  • ベルギーの政府機関
  • 米国のテクノロジー企業
  • タイとブラジルの通信会社
Critical GeoServer Vulnerability Exploited in Global Malware Campaign
ICA Indiaを模倣した悪意のサイト (Screenshot: FortiGuard Labs)

7月15日の時点で米国の CISA は、脆弱性 CVE-2024-36401 を KEV (Known Exploited Vulnerabilities) カタログに追加している。その後に、FortiGuard Labs は、この脆弱性を標的としてマルウェアを拡散する、複数のキャンペーンを観測している。ただし、この脆弱性は、GeoServer 2.23.6/2.24.4/2.25.2 で対処されている。

GeoServer のユーザー組織に対して、強く推奨されるのは、最新バージョンへの更新である。それに加えて、脅威検出ツールやインテリジェンスを実装することで、悪意のアクティビティを特定/排除し、さらには、強力なアクセス制御を実施して機密データやシステムへの不正アクセスを制限することで、これらのリスクを軽減できる。

この GeoServer の脆弱性ですが、第一報は 2024/07/02 の「GeoServer の脆弱性 CVE-2024-36401 (CVSS 9.8) が FIX:RCE の恐れ」となっています。今日の記事で解説されているように、その後に、さまざまな悪用が観察/検知されているようです。ご利用のチームは、ご注意ください。よろしければ、GeoServer で検索も、ご利用ください。