执行摘要
CISA在美国联邦民事行政部门机构检测到端点检测与响应工具生成的安全警报后,启动了事件响应工作。CISA从此次事件中总结了三个关键教训:漏洞未及时修复、机构未测试或演练其事件响应计划、EDR警报未持续监控。
关键行动
- 通过优先修补面向公众系统的关键漏洞和已知被利用漏洞来防止入侵
- 通过维护、实践和更新事件响应计划来为事件做好准备
- 通过实施全面详细的日志记录并在集中式带外位置聚合日志来为事件做准备
技术细节
威胁行为者活动
CISA发现网络威胁行为者通过利用GeoServer漏洞CVE-2024-36401获得了对机构网络的访问权限。这一关键漏洞于2024年6月30日披露,允许未经身份验证的用户在受影响的GeoServer版本上获得远程代码执行能力。
攻击者利用此漏洞下载开源工具和脚本,并在机构网络中建立持久性。他们随后横向移动到Web服务器和SQL服务器,上传了China Chopper等Web shell以及用于远程访问、持久化、命令执行和权限提升的脚本。
攻击技术分析
侦察 攻击者使用Burp Suite Burp Scanner识别组织面向公众的GeoServer中的CVE-2024-36401漏洞。
持久化 攻击者主要在面向互联网的主机上使用Web shell,以及cron作业和有效账户进行持久化。
权限提升 攻击者尝试使用公开可用的dirtycow工具提升权限,该工具可用于利用CVE-2016-5195。
命令与控制 攻击者使用Stowaway(一种公开可用的多级代理工具)建立C2通信。Stowaway使攻击者能够绕过组织的内网限制,通过Web服务器转发来自其C2服务器的流量。
经验教训
漏洞未及时修复
攻击者在漏洞披露11天后就利用了CVE-2024-36401访问第一个GeoServer,25天后访问第二个GeoServer。
事件响应计划未测试
机构的IRP没有引入第三方协助的程序,这阻碍了CISA快速有效响应事件的能力。
EDR警报未持续监控
活动在环境中保持未被检测状态达三周,机构错过了在7月15日检测此活动的机会。
缓解措施
CISA建议组织实施以下缓解措施:
- 建立包含优先级和紧急修补程序的漏洞管理计划
- 维护、实践和更新网络安全事件响应计划
- 实施全面详细的日志记录并在带外集中位置聚合日志
- 为所有特权账户和电子邮件服务账户要求防网络钓鱼的MFA
- 为应用程序、脚本和网络流量实施允许列表
附录:关键事件时间线
| 日期/时间 | 相关主机 | 事件 |
|---|---|---|
| 2024年7月1日 | n/a | CVE-2024-36401发布 |
| 2024年7月11日 | GeoServer 1 | 初始访问GeoServer 1 |
| 2024年7月15日 | n/a | CVE-2024-36401添加到CISA的已知被利用漏洞目录 |
| 2024年7月24日 | GeoServer 2 | 初始访问GeoServer 2 |
| 2024年8月1日 | n/a | 受影响组织向CISA请求协助 |