Une faille de sécurité récemment révélée dans OSGeo GeoServer GeoTools a été exploitée dans le cadre de plusieurs campagnes visant à fournir des mineurs de crypto-monnaie, des logiciels malveillants de botnet tels que Condi et JenX, et une porte dérobée connue appelée SideWalk.
La vulnérabilité de sécurité est un bug critique d’exécution de code à distance (CVE-2024-36401, score CVSS : 9,8) qui pourrait permettre à des acteurs malveillants de prendre le contrôle d’instances sensibles.
Mi-juillet, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) l’a ajouté à son catalogue de vulnérabilités connues exploitées (KEV), sur la base de preuves d’exploitation active. La Shadowserver Foundation a déclaré avoir détecté des tentatives d’exploitation contre ses capteurs honeypot à partir du 9 juillet 2024.
Selon Fortinet FortiGuard Labs, la faille a été observé pour fournir GOREVERSE, un serveur proxy inverse conçu pour établir une connexion avec un serveur de commande et de contrôle (C2) pour une activité post-exploitation.
Ces attaques cibleraient des fournisseurs de services informatiques en Inde, des entreprises technologiques aux États-Unis, des entités gouvernementales en Belgique et des entreprises de télécommunications en Thaïlande et au Brésil.
Le serveur GeoServer a également servi de canal pour Condi et une variante du botnet Mirai baptisée JenX, ainsi que pour au moins quatre types de mineurs de crypto-monnaie, dont l’un est récupéré à partir d’un faux site Web se faisant passer pour l’Institut des comptables agréés de l’Inde (ICAI).
La plus notable des chaînes d’attaque exploitant cette faille est peut-être celle qui propage une porte dérobée Linux avancée appelée SideWalk, attribuée à un acteur de menace chinois identifié comme APT41.
Le point de départ est un script shell chargé de télécharger les binaires ELF pour les architectures ARM, MIPS et X86, qui, à son tour, extrait le serveur C2 d’une configuration cryptée, s’y connecte et reçoit d’autres commandes à exécuter sur le périphérique compromis.
Cela comprend l’exécution d’un outil légitime connu sous le nom de Fast Reverse Proxy (FRP) pour échapper à la détection en créant un tunnel crypté de l’hôte vers le serveur contrôlé par l’attaquant, permettant un accès à distance persistant, une exfiltration de données et un déploiement de charge utile.
« Les principales cibles semblent être réparties dans trois régions principales : l’Amérique du Sud, l’Europe et l’Asie », ont déclaré les chercheurs en sécurité Cara Lin et Vincent Li.
« Cette propagation géographique suggère une campagne d’attaque sophistiquée et de grande envergure, exploitant potentiellement les vulnérabilités communes à ces divers marchés ou ciblant des industries spécifiques répandues dans ces zones. »
Le développement intervient alors que la CISA publie cette semaine ajouté à son catalogue KEV deux défauts trouvé en 2021 dans DrayTek VigorConnect (CVE-2021-20123 et CVE-2021-20124, scores CVSS : 7,5) qui pourraient être exploité pour télécharger des fichiers arbitraires à partir du système d’exploitation sous-jacent avec des privilèges root.