- 攻撃者はGeoServerの重大な脆弱性を悪用し、2024年7月に米連邦機関に侵入
- China Chopperウェブシェルにより、侵害されたシステムへのリモートアクセスと横移動が可能に
- CISAは迅速なパッチ適用、検証済みの対応計画、継続的なアラート監視を推奨
2024年7月中旬、脅威アクターがGeoServerの重大なリモートコード実行(RCE)脆弱性を悪用し、米国連邦民間行政機関(FCEB)に侵入したことが政府により確認されました。
このインシデントの詳細を記した報告書で、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、攻撃者がCVE-2024-36401(9.8/10の深刻度)をどのように利用し、デフォルトのGeoServerインストールに対して特別に細工された入力を用いてRCEを実現したかを説明しています。
GeoServerは、オープンスタンダードを用いて地理空間データの共有、編集、公開を可能にするオープンソースのサーバープラットフォームです。
得られた教訓
この脆弱性は6月30日に公開され、7月15日までにCISAの既知悪用脆弱性(KEV)カタログに追加されましたが、その時点ですでに攻撃者は侵害されたエンドポイント上で永続化を確立していました。
しかし、タイムリーにパッチを適用していれば被害は軽減できた可能性があり、7月24日には2つ目のGeoServerインスタンスも侵害されました。
攻撃者は内部に侵入後、Burp Suite、fscan、linux-exploit-suggester2.plなどのツールを使って広範な偵察を行いました。
彼らはネットワーク内を横断し、ウェブサーバーやSQLサーバーを侵害し、各システムにウェブシェルを展開しました。
その中にはChina Chopperも含まれており、これは侵害されたサーバーへのリモートアクセスや制御に使われる軽量なウェブシェルです。一度インストールされると、攻撃者はコマンド実行やファイルのアップロード、ネットワーク内での横移動が可能となります。
CISAはこの攻撃を特定の脅威アクターに帰属していませんが、過去の報告からChina Chopperは高度持続的脅威(APT)グループ、特にAPT41など中国の国家支援グループによく利用されていることが知られています。
CISAの報告書の目的は、このインシデントから得られた教訓を共有することであり、その教訓とは「システムにタイムリーにパッチを適用すること」「インシデント対応計画を策定し、実際にテスト・演習すること」「アラートを継続的に確認すること」であるとしています。
