米国サイバーセキュリティ庁(CISA)は、1年前に発見されたGeoServerの脆弱性が連邦民間行政機関(FCEB)を侵害するために悪用された事例の詳細を公表しました。
悪用されたバグはCVE-2024-36401(CVSSスコア9.8)として追跡されており、リモートコード実行(RCE)につながるものです。この脆弱性は2024年6月30日に公開され、CISAがKEVカタログに追加する2週間前のことでした。
2024年7月11日、CISAの警告の4日前に、脅威アクターがこのバグを悪用して被害機関のGeoServerインスタンスへアクセスし、その後ウェブサーバーやSQLサーバーへ横移動しました。
「各サーバー上で、攻撃者はChina Chopperなどのウェブシェルや、リモートアクセス・永続化・コマンド実行・権限昇格用のスクリプトをアップロード(またはアップロードを試行)しました。サイバー脅威アクターはliving-off-the-land(LOTL)技術も使用しました」とCISAは最新のレポートで説明しています。
7月24日、バグがKEVリストに追加されてから10日後、脅威アクターは同じ機関に属する別のGeoServerインスタンスでも同じ脆弱性を悪用しました。
攻撃者はウェブシェルを設置し、cronジョブやユーザーアカウントを作成して永続化を維持しようとし、さらにLinuxカーネルのDirty COW脆弱性を悪用するなどして権限昇格を試みました。
広告。スクロールして続きをお読みください。
「ウェブサービスアカウントを侵害した後、攻撃者はローカル権限を昇格させ、これらのサービスアカウントから離脱しました(どのように権限昇格したかは不明です)」とCISAは説明しています。
脅威アクターはまた、ブルートフォース攻撃でパスワードを取得し、横移動や権限昇格を行い、市販ツールで偵察を実施し、PowerShellでペイロードをダウンロードし、コマンド&コントロール(C&C)用にStowaway多段プロキシツールを展開しました。
「サイバー脅威アクターは、組織のSOCがEDRツールで侵害を特定するまで、3週間にわたり組織環境内で検知されずに活動していました」とCISAは指摘しています。
サイバーセキュリティ庁によると、被害者はGeoServerバグのKEV必須パッチ適用期間内にありましたが、外部支援を受け入れる手順がなく、2024年7月15日にStowawayに関するEDRアラートを見逃して活動を検知できず、ウェブサーバーにエンドポイント保護も実装していませんでした。
CISAは攻撃を特定の脅威アクターに帰属していませんが、China Chopperウェブシェルは通常、APT41(Brass Typhoon)、Gallium(Granite Typhoon)、Hafnium(Silk Typhoon)など中国関連の脅威アクターによる攻撃で使用されます。
昨年の米財務省ハッキングを主導したとされるSilk Typhoonは、世界中の重要インフラ組織や北米の複数業界を標的にしたハッキングで知られています。
「China Chopperは10年以上前から存在し、2021年のExchange攻撃でも使われたウェブシェルです。本当の問題は、攻撃者がよく知られたエクスプロイトを連鎖させ、横移動し、EDRが導入されていても誰にも気づかれずにネットワーク内に3週間も潜伏していたことです。これが現代の脅威です。珍しいゼロデイではなく、パッチが当たらず検知もされないギャップが、手遅れになるまで放置されることなのです」とTuskiraのCEO兼共同創業者Piyush Sharma氏は述べています。
関連記事: すべてのMicrosoft Entraテナントが不可視アクタートークンによるサイレント侵害にさらされていた:研究者
関連記事: SonicWall、SMA 100アプライアンスのOverstepマルウェア除去アップデートを提供
翻訳元: https://www.securityweek.com/geoserver-flaw-exploited-in-us-federal-agency-hack/