Una falla de seguridad recientemente revelada en OSGeo GeoServer GeoTools ha sido explotada como parte de múltiples campañas para distribuir mineros de criptomonedas, malware de botnet como Condi y JenX, y una puerta trasera conocida llamada SideWalk.
La vulnerabilidad de seguridad es un error crítico de ejecución remota de código (CVE-2024-36401, puntuación CVSS: 9,8) que podría permitir que actores maliciosos tomen el control de instancias susceptibles.
A mediados de julio, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) lo agregó a su catálogo de vulnerabilidades explotadas conocidas (KEV), con base en evidencia de explotación activa. La Fundación Shadowserver dijo que detectó intentos de explotación contra sus sensores honeypot a partir del 9 de julio de 2024.
Según Fortinet FortiGuard Labs, la falla ha sido observado para entregar GOREVERSE, un servidor proxy inverso diseñado para establecer una conexión con un servidor de comando y control (C2) para actividad posterior a la explotación.
Se dice que estos ataques apuntan a proveedores de servicios de TI en India, empresas de tecnología en Estados Unidos, entidades gubernamentales en Bélgica y empresas de telecomunicaciones en Tailandia y Brasil.
El servidor GeoServer también ha servido como conducto para Condi y una variante de botnet Mirai denominada JenX, y al menos cuatro tipos de mineros de criptomonedas, uno de los cuales se recupera de un sitio web falso que se hace pasar por el Instituto de Contadores Públicos de la India (ICAI).
Quizás la más notable de las cadenas de ataque que aprovechan la falla es la que propaga una puerta trasera avanzada de Linux llamada SideWalk, que se atribuye a un actor de amenazas chino identificado como APT41.
El punto de partida es un script de shell que se encarga de descargar los binarios ELF para las arquitecturas ARM, MIPS y X86, que, a su vez, extrae el servidor C2 de una configuración cifrada, se conecta a él y recibe más comandos para su ejecución en el dispositivo comprometido.
Esto incluye la ejecución de una herramienta legítima conocida como Fast Reverse Proxy (FRP) para evadir la detección mediante la creación de un túnel cifrado desde el host hasta el servidor controlado por el atacante, lo que permite el acceso remoto persistente, la exfiltración de datos y la implementación de carga útil.
«Los objetivos principales parecen estar distribuidos en tres regiones principales: Sudamérica, Europa y Asia», dijeron los investigadores de seguridad Cara Lin y Vincent Li.
«Esta distribución geográfica sugiere una campaña de ataque sofisticada y de largo alcance, que potencialmente explota vulnerabilidades comunes a estos diversos mercados o apunta a industrias específicas que prevalecen en estas áreas».
El desarrollo llega como CISA esta semana agregado A su catálogo KEV dos defectos encontró en 2021 en DrayTek VigorConnect (CVE-2021-20123 y CVE-2021-20124, puntuaciones CVSS: 7,5) que podrían ser explotado para descargar archivos arbitrarios del sistema operativo subyacente con privilegios de root.