Kelemahan keamanan yang baru-baru ini diungkapkan dalam OSGeo GeoServer GeoTools telah dieksploitasi sebagai bagian dari beberapa kampanye untuk mengirimkan penambang mata uang kripto, malware botnet seperti Condi dan JenX, dan pintu belakang yang diketahui disebut SideWalk.
Kerentanan keamanan adalah bug eksekusi kode jarak jauh yang kritis (CVE-2024-36401, skor CVSS: 9.8) yang dapat memungkinkan pelaku jahat mengambil alih instans yang rentan.
Pada pertengahan Juli, Badan Keamanan Siber dan Infrastruktur AS (CISA) menambahkannya ke katalog Kerentanan yang Diketahui (KEV), berdasarkan bukti eksploitasi aktif. Shadowserver Foundation mengatakan pihaknya mendeteksi upaya eksploitasi terhadap sensor honeypotnya mulai 9 Juli 2024.
Menurut Fortinet FortiGuard Labs, kelemahan tersebut telah diamati menghadirkan GOREVERSE, server proxy terbalik yang dirancang untuk membuat koneksi dengan server perintah-dan-kontrol (C2) untuk aktivitas pasca-eksploitasi.
Serangan-serangan ini dikatakan menargetkan penyedia layanan TI di India, perusahaan teknologi di AS, entitas pemerintah di Belgia, dan perusahaan telekomunikasi di Thailand dan Brasil.
Server GeoServer juga berfungsi sebagai saluran bagi Condi dan varian botnet Mirai yang dijuluki JenX, dan setidaknya empat jenis penambang mata uang kripto, salah satunya diambil dari situs web palsu yang menyamar sebagai Institut Akuntan Publik India (ICAI).
Mungkin rangkaian serangan yang paling menonjol yang memanfaatkan kelemahan tersebut adalah serangan yang menyebarkan pintu belakang Linux canggih yang disebut SideWalk, yang dikaitkan dengan aktor ancaman China yang dilacak sebagai APT41.
Titik awalnya adalah skrip shell yang bertanggung jawab untuk mengunduh biner ELF untuk arsitektur ARM, MIPS, dan X86, yang kemudian mengekstrak server C2 dari konfigurasi terenkripsi, menghubungkannya, dan menerima perintah lebih lanjut untuk dieksekusi pada perangkat yang disusupi.
Ini termasuk menjalankan alat sah yang dikenal sebagai Fast Reverse Proxy (FRP) untuk menghindari deteksi dengan membuat terowongan terenkripsi dari host ke server yang dikendalikan penyerang, yang memungkinkan akses jarak jauh terus-menerus, eksfiltrasi data, dan penyebaran muatan.
“Target utama tampaknya tersebar di tiga wilayah utama: Amerika Selatan, Eropa, dan Asia,” kata peneliti keamanan Cara Lin dan Vincent Li.
“Penyebaran geografis ini menunjukkan adanya kampanye serangan yang canggih dan luas, yang berpotensi mengeksploitasi kerentanan yang umum di berbagai pasar ini atau menargetkan industri tertentu yang lazim di area ini.”
Perkembangan ini terjadi saat CISA minggu ini menambahkan ke katalog KEV-nya dua kelemahan yang ditemukan pada tahun 2021 di DrayTek VigorConnect (CVE-2021-20123 dan CVE-2021-20124, skor CVSS: 7,5) yang dapat dimanfaatkan untuk mengunduh file sembarangan dari sistem operasi yang mendasarinya dengan hak akses root.