黑客利用GeoServer漏洞入侵美国联邦机构，CISA发布安全警报

漏洞背景

CISA透露，攻击者去年通过入侵未打补丁的GeoServer实例，成功攻破了一家未具名的美国联邦民事行政分支（FCEB）机构的网络。该安全漏洞（追踪为CVE-2024-36401）是一个关键远程代码执行（RCE）漏洞，于2024年6月18日修复。大约一个月后，CISA将该漏洞列入其主动利用漏洞目录，此前多名安全研究人员在线分享了概念验证利用代码[1, 2, 3]，演示了如何在暴露的服务器上执行代码。

攻击时间线

尽管网络安全机构未提供漏洞在野外被利用的具体细节，但威胁监控服务Shadowserver观察到CVE-2024-36401攻击始于2024年7月9日，而OSINT搜索引擎ZoomEye则追踪到超过16,000台GeoServer服务器暴露在线。首次攻击被检测到两天后，威胁行为者获得了一家美国联邦机构GeoServer服务器的访问权限，并在大约两周后攻破了另一台服务器。

攻击过程

在攻击的下一阶段，攻击者横向移动穿过该机构的网络，攻陷了一台Web服务器和一台SQL服务器。CISA在周二的一份公告中表示：“在每台服务器上，他们上传（或试图上传）了诸如China Chopper之类的WebShell，以及设计用于远程访问、持久化、命令执行和权限提升的脚本。”一旦进入组织网络，网络威胁行为者主要依靠暴力破解技术[T1110]来获取横向移动和权限提升的密码。他们还通过利用相关服务来访问服务账户。

检测与响应

威胁行为者保持未被发现状态达三周，直到该联邦机构的端点检测和响应（EDR）工具于2024年7月31日向其安全运营中心（SOC）发出警报，将SQL服务器上的一个文件标记为可疑恶意软件。在攻击者的恶意活动触发更多EDR警报后，SOC团队隔离了服务器，并在CISA的协助下展开了调查。

CISA建议

CISA现敦促网络防御者加快修补关键漏洞（尤其是那些已添加到其已知被利用漏洞目录中的漏洞），确保安全运营中心持续监控EDR警报以发现可疑网络活动，并加强其事件响应计划。今年7月，该美国网络安全机构在对一家美国关键基础设施组织进行主动搜寻活动后发布了另一份公告。虽然未发现其网络上有恶意活动的证据，但发现了许多网络安全风险，包括但不限于不安全存储的凭据、多台工作站共享本地管理员凭据、本地管理员账户无限制远程访问、日志记录不足以及网络分段配置问题。