Una reciente vulnerabilidad de seguridad descubierta en OSGeo GeoServer GeoTools ha sido explotada como parte de múltiples campañas para distribuir mineros de criptomonedas, malware de botnet como Condi y JenX, y un conocido backdoor llamado SideWalk.
La vulnerabilidad de seguridad es un error crítico de ejecución remota de código (CVE-2024-36401, puntuación CVSS: 9.8) que podría permitir a actores maliciosos tomar el control de las instancias susceptibles.
A mediados de julio, la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) lo agregó a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), basándose en evidencia de explotación activa. La Fundación Shadowserver dijo que detectó intentos de explotación contra sus sensores honeypot a partir del 9 de julio de 2024.
Según Fortinet FortiGuard Labs, se ha observado que la falla distribuye GOREVERSE, un servidor proxy inverso diseñado para establecer una conexión con un servidor de comando y control (C2) para actividad posterior a la explotación.
Se dice que estos ataques tienen como objetivo a proveedores de servicios de IT en India, empresas de tecnología en EE. UU., entidades gubernamentales en Bélgica y empresas de telecomunicaciones en Tailandia y Brasil.
El servidor GeoServer también ha servido como conducto para Condi y una variante del botnet Mirai llamada JenX, y al menos cuatro tipos de mineros de criptomonedas, uno de los cuales se recupera de un sitio web falso que suplanta al Instituto de Contadores Públicos de la India (ICAI).
Quizás la cadena de ataque más notable que aprovecha la falla sea aquella que propaga un backdoor Linux avanzado llamado SideWalk, que se atribuye a un actor amenazante chino rastreado como APT41. Este desarrollo surge cuando CISA esta semana agregó a su catálogo KEV dos fallas encontradas en 2021 en DrayTek VigorConnect (CVE-2021-20123 y CVE-2021-20124, puntuaciones CVSS: 7.5) que podrían ser explotadas para descargar archivos arbitrarios del sistema operativo subyacente con privilegios de root.
Vía The Hacker News
La entrada Vulnerabilidad de GeoServer utilizada por hackers para distribuir puertas traseras y malware de botnet se publicó primero en News Bender Daily.
