美国网络安全和基础设施安全局(CISA)披露,攻击者去年通过攻陷未打补丁的GeoServer实例,侵入了某未具名美国联邦民事行政部门(FCEB)机构的网络。
该安全漏洞(编号CVE-2024-36401)是一个严重的远程代码执行(RCE)漏洞,已于2024年6月18日修复。在多名安全研究人员公开漏洞利用证明(PoC)后,CISA于约一个月后将其添加至已知被利用漏洞目录,PoC演示了如何在暴露的服务器上实现代码执行。
尽管CISA未透露野外利用细节,但威胁监控服务Shadowserver观察到,针对CVE-2024-36401的攻击始于2024年7月9日,而开源情报搜索引擎ZoomEye当时已追踪到超16,000台暴露在互联网上的GeoServer服务器。
首次攻击被检测到两天后,威胁行为者入侵了美国联邦机构的GeoServer服务器,并在约两周后攻陷了另一台服务器。在攻击的下一阶段,他们通过该机构网络横向移动,入侵了一台Web服务器和一台SQL服务器。
“侵入组织网络后,网络威胁行为者主要依赖暴力破解技术(T1110) 获取密码,以进行横向移动和权限提升。他们还通过利用关联服务来访问服务账户。”
攻击者潜伏三周未被发现,直至2024年7月31日,该联邦机构的端点检测与响应(EDR)工具向安全运营中心(SOC)发出警报,标记SQL服务器上的一个文件为可疑恶意软件。
在攻击者的恶意活动触发更多EDR警报后,SOC团队隔离了服务器,并在CISA协助下启动调查。
CISA现敦促网络防御者加快修补关键漏洞(尤其是已列入已知被利用漏洞目录的漏洞),确保安全运营中心持续监控EDR警报以发现可疑网络活动,并加强事件响应计划。
今年7月,CISA在对美国某关键基础设施组织进行主动狩猎式评估后发布了另一则公告。尽管未发现网络上的恶意活动证据,但发现了诸多网络安全风险,包括但不限于凭证存储不安全、多台工作站共享本地管理员凭证、本地管理员账户无限制远程访问、日志记录不足以及网络分段配置问题。
发表评论
您还未登录,请先登录。
登录