One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8580746 |
| Date de publication | 2024-09-20 19:10:59 (vue: 2024-09-20 19:18:18) |
| Titre | Threat Actors Exploit GeoServer Vulnerability CVE-2024-36401 |
| Texte | #### Géolocations ciblées - États-Unis - Belgique - Inde - Thaïlande - Brésil #### Industries ciblées - Informatique - Infrastructure de communication - Installations gouvernementales ## Instantané Les acteurs de la menace exploitent une vulnérabilité dans GeoServer, un serveur logiciel open source écrit en Java qui permet aux utilisateurs de partager et de modifier des données géospatiales. ## Description The vulnerability, [CVE-2024-36401](https://sip.security.microsoft.com/intel-explorer/cves/CVE-2024-36401/), allows remote code execution (RCE) by unauthenticated users through specially craftedEntrée par rapport à une installation de GeoServer par défaut en raison de l'évaluation de la propriété dangereuse en tant qu'expressions XPATH.La vulnérabilité a été abordée dans les versions 2.23.6, 2.24.4 et 2.25.2. Plusieurs campagnes ciblant cette vulnérabilité ont été observées pour répandre les logiciels malveillants, notamment les boursiers Goreverse et Sidewalk, le Condi Botnet et le malware de Coinmin.Les attaques ont été observées ciblant les prestataires de services informatiques en Inde, les entreprises technologiques aux États-Unis, les entités gouvernementales en Belgique et les sociétés de télécommunications en Thaïlande et au Brésil. La porte dérobée Goreverse récupère un script à partir d'un serveur distant, vérifie le système d'exploitation et l'architecture de la victime, télécharge le fichier approprié et l'exécute.L'exécutable ultime est Goreverse, un outil malveillant qui fonctionne souvent comme un serveur proxy inversé, permettant aux attaquants d'accéder illicitement aux systèmes ou données cibles.La porte dérobée du trottoir crée un dossier nommé avec une chaîne générée de manière aléatoire dans le répertoire TMP, décode deux fichiers de bibliothèque et la charge utile à un stade suivant à l'aide de la clé XOR 0xcc et exécute la charge utile à étage à prochaines, qui a trois fonctions principales: la configuration de décryptation,Établir la communication C2 et exécuter la commande émise par C2. Le Condi Botnet met fin à plusieurs processus, puis télécharge et exécute plusieurs binaires de bot pour différentes architectures de CPU à partir d'un serveur distant, et établit une connexion avec le serveur C2 pour analyser la commande.Le malware de Coinmin, a été observé dans quatre types d'incidents, téléchargeant des scripts à partir d'URL distants, modifiant et exécutant les scripts pour atteindre diverses fins et définition de l'URL de pool avec des informations d'identification. ## Analyse Microsoft CVE-2024-36401: GeoServer est un serveur open source qui permet aux utilisateurs de partager et de modifier des données géospatiales.Avant les versions 2.23.6, 2.24.4 et 2.25.2, plusieurs paramètres de demande OGC permettent l'exécution du code distant (RCE) par les utilisateurs non authentifiés via une entrée spécialement conçue par rapport à une installation de géoserver par défaut en raison de l'évaluation de la propriété dangereuse comme des expressions XPATH. \ \N \ NThe Geotools Library API That GeoServer Les appels évaluent les noms de propriété / attribut pour les types de fonctionnalités d'une manière qui les transmet à la bibliothèque Commons-Jxpath qui peut exécuter du code arbitraire lors de l'évaluation des expressions XPath.Cette évaluation XPATH est destinée à être utilisée uniquement par des types de fonctionnalités complexes (c'est-à-dire les magasins de données de schéma d'application) mais est incorrectement appliqué à des types de fonctionnalités simples qui font que cette vulnérabilité s'applique à toutes les instances de GeoServer.Aucun POC public n'est fourni mais cette vulnérabilité a été confirméeExploitable via WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMSGetleGendGraphic et WPS exécutent des demandes.Ce |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | #### **© 0xcc 2024 2024** 30d 36401 36401/ 36401: >ago access accessed achieve actors addressed against all allow allowing allows analysis any api application applied apply appropriate arbitrary architecture architectures are attackers attacks backdoor backdoors been being belgium binaries bot botnet brazil break but calls campaigns can code coinminer com/blog/threat com/intel com/revoltsecurities/cve command commandline commons communication communications companies complex condi configuration confirmed connection contain content copyright cpu crafted creates credentials cve data decodes decrypt default deploying description destinationaddress destinationaddressdnsname detections/hunting different directory distribution downloading downloads due edit entities establish establishes evaluates evaluating evaluation exec executable execute executes executing execution exists expand exploit exploitable exploiting explorer/cves/cve expressions facilities feature file files first folder fortinet four from functionality functions functions: generated geolocations geoserver geospatial geotools getfeature getfeatureinfo getlegendgraphic getmap getpropertyvalue getruntime goreverse government has have https://github https://sip https://www illicitly incidents including incorrectly india information infrastructure initiatingprocessname input installation instances intended issue issued jar java jxpath key lang latest lead library machineid macro main makes malicious malware may microsoft mitigations modifying module multiple named names needed networkconnectionevents next nthe nversions observed often ogc only open operating orgid parameters parse part passes patch payload permission poc pool prevent prior process processes prohibited property property/attribute provided providers proxy public purposes queries randomly rce recommendations references remote remove removing reportarrivaltimeutc reporttime reproduction request requests research/threat reserved retrieves reverse revoltsecurities rights running runtime schema script scripts security server service service=wfs setting several share sidewalk simple site snapshot software some source sourceaddress specially spread stage states stores string system systems target targeted targetedindustries targeting technology telecommunications terminates thailand them then thereof threat three through tmp tool two types ultimate unauthenticated united unsafely update url urls used users using various verifies version versions victim vulnerability vulnerable way wcdscrubbeddata well wfs when where which will without wms workaround wps written xor xpath |project |where |
| Tags | Malware Tool Vulnerability Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.