CISA：攻击者通过GeoServer关键漏洞入侵联邦机构

威胁行为者利用CVE-2024-36401漏洞，在漏洞披露后不到两周内成功入侵了一个大型联邦民事执行分支（FCEB）机构，该机构使用地理空间映射数据。

漏洞利用时间线

根据CISA的通报，攻击者去年通过利用开源GeoServer映射服务器中的关键漏洞入侵了一个联邦机构。CISA在机构端点检测与响应（EDR）平台标记恶意活动后进行了事件响应，但发现机构的事件响应预案严重不足，这阻碍了CISA的调查，并允许攻击者在网络中不受控制地深入渗透。

“CISA发现网络威胁行为体在EDR警报前三周左右，通过利用GeoServer中的CVE-2024-36401漏洞入侵了该机构，“通报称。“在那三周期间，网络威胁行为体通过同一漏洞获得了第二个GeoServer的独立初始访问权限，并横向移动到另外两台服务器。”

GeoServer漏洞详情

GeoServer用于从不同来源整理地理空间数据以进行映射；其用户包括开放地理空间联盟成员，他们从事天气跟踪、地理调查、将环境数据与航空航天或军事项目联系起来等业务。这个允许远程代码执行（RCE）的关键漏洞于去年6月30日首次披露，获得了9.8的CVSS评分。CISA表示，威胁行为体于2024年7月11日首次获得了FCEB机构网络的访问权限——距离漏洞披露不到两周。

CISA于2024年7月15日将CVE-2024-36401添加到其已知利用漏洞（KEV）目录中。目前尚不清楚FCEB机构的入侵是否促使CISA将该漏洞添加到KEV目录中。

联邦机构入侵剖析

根据CISA的通报，攻击者通过使用著名的渗透测试套件Burp Suite进行网络扫描，发现了FCEB机构的易受攻击GeoServer实例。攻击者在漏洞披露后不久就利用该漏洞获得了面向公众的GeoServer实例的访问权限，并下载了开源脚本和工具，这些工具与无文件攻击技术一起被用来在网络中横向移动。

2024年7月24日，攻击者再次利用CVE-2024-36401获得了FCEB机构第二个GeoServer实例的访问权限。威胁行为体随后从第一个GeoServer实例转移到Web服务器和SQL服务器，在那里他们投放了Web shell，包括广泛使用的China Chopper。

虽然China Chopper在2021年针对Microsoft Exchange服务器的ProxyLogon攻击等高调活动中与中国关联的威胁组织有关，但它并非这些组织专属。

攻击者后续活动

一旦威胁行为体在FCEB机构网络中建立了持久性，他们主要通过暴力攻击获取账户密码，CISA表示。威胁行为体还尝试使用CVE-2016-5195（一个被称为"Dirty Cow"的Linux漏洞，可用于提升权限）的漏洞利用，并使用公开可用的网络代理工具Stowaway进行命令与控制（C2）流量。

该漏洞被证明是一个受欢迎的目标：在2024年9月发布的一篇博客文章中，Fortinet研究人员表示，他们观察到在该漏洞被添加到KEV目录后，有"多个活动"利用CVE-2024-36401，包括与僵尸网络和加密货币矿工相关的活动。

美国机构的网络安全缺陷

CISA在其通报中分享了从FCEB机构入侵中汲取的教训以及有关组织安全状况的要点——结果并不乐观。首先，CISA强调该机构没有及时修复CVE-2024-36401，即使在漏洞被添加到KEV目录后也是如此，这使得威胁行为体能够在7月24日入侵第二个GeoServer实例。

“2024年7月24日在该CVE的KEV要求修补窗口内，“通报称。“然而，CISA鼓励FCEB机构和关键基础设施组织作为其漏洞管理计划的一部分，立即解决KEV目录漏洞。”

CISA还指出，该机构的事件响应计划没有得到适当测试，也没有设计为迅速让第三方参与并为他们提供事件响应所需资源的访问权限。具体来说，该机构无法授予CISA人员对其SIEM的远程访问权限，“这阻碍了CISA快速有效响应事件的努力。”

最后，通报称FCEB机构没有持续审查EDR警报，并指出一些面向公众的资源，包括被入侵的Web服务器，完全缺乏任何端点保护。

“该活动在三周内未被检测到；该机构错过了在2024年7月15日检测此活动的机会，因为他们没有观察到来自GeoServer 1的警报，EDR在那里检测到了Stowaway工具，“通报称。

关于经验教训，CISA敦促组织建立漏洞管理计划，包含优先处理和及时修补被利用漏洞的流程；维护、更新和测试事件响应计划；并实施全面详细的日志记录。