CISAは、攻撃者がパッチ未適用のGeoServerインスタンスを侵害した後、昨年、米国の名前が明かされていない連邦民間行政機関(FCEB)のネットワークに侵入したことを明らかにしました。
このセキュリティバグ(CVE-2024-36401として追跡)は、2024年6月18日に修正された重大なリモートコード実行(RCE)の脆弱性です。CISAは、この脆弱性を積極的に悪用されている脆弱性カタログに約1か月後に追加しました。これは、複数のセキュリティ研究者がオンラインで概念実証のエクスプロイトを共有し、公開サーバー上でどのようにコード実行が可能かを示した後のことです[1, 2, 3]。
サイバーセキュリティ機関は、脆弱性が実際にどのように悪用されているかについて詳細を提供しませんでしたが、脅威監視サービスのShadowserverは、CVE-2024-36401の攻撃が2024年7月9日から始まったと観測しました。一方、OSINT検索エンジンのZoomEyeは、16,000台以上のGeoServerサーバーがオンラインで公開されていることを追跡していました。
最初の攻撃が検知されてから2日後、脅威アクターは米国連邦機関のGeoServerサーバーへのアクセスを獲得し、約2週間後に別のサーバーも侵害しました。攻撃の次の段階では、機関のネットワーク内を横断し、ウェブサーバーやSQLサーバーにも侵入しました。
「各サーバー上で、China Chopperなどのウェブシェルや、リモートアクセス、永続化、コマンド実行、権限昇格用のスクリプトをアップロード(またはアップロードを試行)しました」と、CISAは火曜日のアドバイザリで述べています。
「組織のネットワーク内に侵入した後、サイバー脅威アクターは主にブルートフォース手法[T1110]に依存して、横移動や権限昇格のためのパスワードを取得しました。また、関連サービスを悪用してサービスアカウントにもアクセスしました。」
脅威アクターは3週間にわたり検知されず、2024年7月31日に連邦機関のエンドポイント検知・対応(EDR)ツールがSQLサーバー上のファイルをマルウェアの疑いとしてセキュリティオペレーションセンター(SOC)に警告を出すまで侵害は続きました。
攻撃者の悪意ある活動が追加のEDRアラートを引き起こした後、SOCチームはサーバーを隔離し、CISAの支援を受けて調査を開始しました。
CISAは現在、ネットワーク防御担当者に対し、重大な脆弱性(特に既知の悪用済み脆弱性カタログに追加されたもの)の迅速なパッチ適用、セキュリティオペレーションセンターによるEDRアラートの継続的な監視、インシデント対応計画の強化を促しています。
7月、米国のサイバーセキュリティ機関は、米国の重要インフラ組織でのプロアクティブなハント活動の後、別のアドバイザリも発表しました。
そのネットワーク上で悪意ある活動の証拠は見つかりませんでしたが、セキュリティリスクが多数発見されました。これには、安全でない認証情報の保存、複数のワークステーション間で共有されているローカル管理者認証情報、ローカル管理者アカウントへの無制限のリモートアクセス、不十分なログ記録、ネットワークセグメンテーション構成の問題などが含まれていました。
