Vulnerabilidad de GeoServer está siendo explotada por hackers para ofrecer backdoors y mawalre de botnet

Una vulnerabilidad de seguridad recientemente descubierta en OSGeo GeoServer GeoTools ha sido utilizada en varias campañas para desplegar mineros de criptomonedas, malware de botnets como Condi y JenX, así como un backdoor conocido como SideWalk.

El fallo de seguridad es una vulnerabilidad crítica de ejecución remota de código (CVE-2024-36401, con una puntuación CVSS de 9.8), que permitiría a atacantes tomar el control de instancias vulnerables.

A mediados de julio, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) lo incluyó en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), basándose en pruebas de que está siendo activamente explotada. La Fundación Shadowserver informó que detectó intentos de explotación contra sus sensores honeypot desde el 9 de julio de 2024.

Según Fortinet FortiGuard Labs, se ha visto que la vulnerabilidad se está utilizando para distribuir GOREVERSE, un servidor proxy inverso diseñado para establecer comunicación con un servidor de comando y control (C2) y realizar actividades después de la explotación inicial.

Se cree que estos ataques tienen como objetivo proveedores de servicios de TI en la India, empresas tecnológicas en Estados Unidos, entidades gubernamentales en Bélgica y compañías de telecomunicaciones en Tailandia y Brasil.

El servidor GeoServer también ha sido utilizado para la distribución de Condi, una variante de la botnet Mirai conocida como JenX, y al menos cuatro tipos de mineros de criptomonedas. Uno de estos mineros se descarga desde un sitio web falso que imita al Instituto de Contadores Públicos de la India (ICAI).

Una de las cadenas de ataques más destacadas que explota esta vulnerabilidad es la que propaga un avanzado backdoor para Linux llamado SideWalk, que se atribuye a un grupo de amenazas chino identificado como APT41.

El ataque comienza con un script en shell que descarga los binarios ELF para las arquitecturas ARM, MIPS y X86, los cuales extraen el servidor C2 de una configuración cifrada, se conectan a él y reciben instrucciones adicionales para ejecutar en el dispositivo comprometido.

Esto incluye el uso de una herramienta legítima llamada Fast Reverse Proxy (FRP) para evitar la detección mediante la creación de un túnel cifrado entre el host y el servidor controlado por el atacante, lo que permite un acceso remoto persistente, la exfiltración de datos y el despliegue de nuevas cargas maliciosas.

«Los principales objetivos parecen estar distribuidos en tres regiones clave: América del Sur, Europa y Asia», indicaron los investigadores de seguridad Cara Lin y Vincent Li.

«Esta distribución geográfica sugiere una campaña de ataques sofisticada y extendida, que posiblemente explota vulnerabilidades comunes en estos mercados diversos o se enfoca en industrias específicas de estas áreas».

Este avance se produce mientras CISA ha añadido recientemente a su catálogo KEV dos vulnerabilidades descubiertas en 2021 en DrayTek VigorConnect (CVE-2021-20123 y CVE-2021-20124, con puntuaciones CVSS de 7.5), que podrían ser utilizadas para descargar archivos arbitrarios del sistema operativo subyacente con privilegios de root.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *