Una falla de seguridad recientemente revelada en OSGeo GeoServer GeoTools ha sido explotada como parte de m\u00faltiples campa\u00f1as para distribuir mineros de criptomonedas, malware de botnet como Condi y JenX, y una puerta trasera conocida llamada SideWalk.<\/p>\n
La vulnerabilidad de seguridad es un error cr\u00edtico de ejecuci\u00f3n remota de c\u00f3digo (CVE-2024-36401, puntuaci\u00f3n CVSS: 9,8) que podr\u00eda permitir que actores maliciosos tomen el control de instancias susceptibles.<\/p>\n
A mediados de julio, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) lo agreg\u00f3 a su cat\u00e1logo de vulnerabilidades explotadas conocidas (KEV), con base en evidencia de explotaci\u00f3n activa. La Fundaci\u00f3n Shadowserver dijo que detect\u00f3 intentos de explotaci\u00f3n contra sus sensores honeypot a partir del 9 de julio de 2024.<\/p>\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Los-piratas-informaticos-atacan-una-vulnerabilidad-de-GeoServer-para-distribuir.jpg\")
<\/a><\/center><\/div>\nSeg\u00fan Fortinet FortiGuard Labs, la falla ha sido observado<\/a> para entregar GOREVERSE, un servidor proxy inverso dise\u00f1ado para establecer una conexi\u00f3n con un servidor de comando y control (C2) para actividad posterior a la explotaci\u00f3n.<\/p>\n Se dice que estos ataques apuntan a proveedores de servicios de TI en India, empresas de tecnolog\u00eda en Estados Unidos, entidades gubernamentales en B\u00e9lgica y empresas de telecomunicaciones en Tailandia y Brasil.<\/p>\n El servidor GeoServer tambi\u00e9n ha servido como conducto para Condi y una variante de botnet Mirai denominada JenX, y al menos cuatro tipos de mineros de criptomonedas, uno de los cuales se recupera de un sitio web falso que se hace pasar por el Instituto de Contadores P\u00fablicos de la India (ICAI).<\/p>\n Quiz\u00e1s la m\u00e1s notable de las cadenas de ataque que aprovechan la falla es la que propaga una puerta trasera avanzada de Linux llamada SideWalk, que se atribuye a un actor de amenazas chino identificado como APT41.<\/p>\n El punto de partida es un script de shell que se encarga de descargar los binarios ELF para las arquitecturas ARM, MIPS y X86, que, a su vez, extrae el servidor C2 de una configuraci\u00f3n cifrada, se conecta a \u00e9l y recibe m\u00e1s comandos para su ejecuci\u00f3n en el dispositivo comprometido.<\/p>\n Esto incluye la ejecuci\u00f3n de una herramienta leg\u00edtima conocida como Fast Reverse Proxy (FRP) para evadir la detecci\u00f3n mediante la creaci\u00f3n de un t\u00fanel cifrado desde el host hasta el servidor controlado por el atacante, lo que permite el acceso remoto persistente, la exfiltraci\u00f3n de datos y la implementaci\u00f3n de carga \u00fatil.<\/p>\n “Los objetivos principales parecen estar distribuidos en tres regiones principales: Sudam\u00e9rica, Europa y Asia”, dijeron los investigadores de seguridad Cara Lin y Vincent Li.<\/p>\n “Esta distribuci\u00f3n geogr\u00e1fica sugiere una campa\u00f1a de ataque sofisticada y de largo alcance, que potencialmente explota vulnerabilidades comunes a estos diversos mercados o apunta a industrias espec\u00edficas que prevalecen en estas \u00e1reas”.<\/p>\n El desarrollo llega como CISA esta semana agregado<\/a> A su cat\u00e1logo KEV dos defectos encontr\u00f3<\/a> en 2021 en DrayTek VigorConnect (CVE-2021-20123 y CVE-2021-20124, puntuaciones CVSS: 7,5) que podr\u00edan ser explotado<\/a> para descargar archivos arbitrarios del sistema operativo subyacente con privilegios de root.<\/p>\n <\/p>\n<\/a><\/center><\/section>\n