СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
28.12.2025
#ИБ

GeoServer CVE-2024-36401: RCE и массовые атаки майнеров

GeoServer, сервер геоинформационной системы (ГИС) с открытым исходным кодом, написанный на Java, подвергается постоянным атакам из‑за недавно обнаруженной уязвимости CVE-2024-36401. Уязвимость позволяет Удаленное Выполнение Кода неавторизованными пользователями, что атакующие используют для установки различного вредоносного ПО — прежде всего криптомайнеров.

Что происходит

Злоумышленники целенаправленно сканируют и эксплуатируют уязвимые экземпляры GeoServer в средах на платформах Windows и Linux. В результате компрометации атакующие разворачивают майнеры, в основном XMRig, которые захватывают системные ресурсы для майнинга криптовалюты Monero. Кроме майнинга, скомпрометированные хосты используются для дальнейших атак: загрузки дополнительного ПО, кражи данных и выполнения произвольных команд через такие инструменты, как NetCat.

Кем и как эксплуатируется уязвимость

Исследователи выделили три различных типа злоумышленников, действующих через CVE-2024-36401:

  • Тип 1: использует тот же адрес кошелька, что и в предыдущих инцидентах; выполняет команды через PowerShell и запускает сценарии через «bash.exe».
  • Тип 2: применяет certutil для установки дроппера в формате RAR SFX, который содержит XMRig и конфигурационные файлы для майнера.
  • Тип 3: помимо майнера устанавливает AnyDesk с использованием специального загрузчика для получения дополнительной полезной нагрузки; характер этой дополнительно загружаемой нагрузки пока неизвестен.

«Постоянный характер этих атак подчеркивает острую необходимость своевременного исправления и принятия мер по устранению известных уязвимостей в широко используемом программном обеспечении», — отмечают эксперты по безопасности.

Технологии и индикаторы компрометации

  • Эксплуатация уязвимости: CVE-2024-36401 — Remote Code Execution.
  • Инструменты и команды: PowerShell, «bash.exe», certutil, загрузчики RAR SFX.
  • Вредоносное ПО: XMRig (майнер Monero).
  • Дополнительный софт: AnyDesk (удаленный доступ), NetCat (канал управления/перенаправления трафика).
  • Платформы жертв: Windows и Linux-системы, на которых запущен уязвимый GeoServer.

Последствия для организаций

Помимо прямого потребления ресурсов для майнинга, атаки приводят к следующим рискам:

  • Снижение производительности и рост затрат на электроэнергию;
  • Утечка конфиденциальных данных при дальнейших этапах компрометации;
  • Развертывание дополнительного вредоносного ПО, включая backdoor и инструменты для латерального перемещения;
  • Долговременное присутствие атакующих в инфраструктуре при отсутствии своевременного реагирования.

Рекомендации по защите и реагированию

Чтобы снизить риски и оперативно устранить последствия, рекомендуется выполнить следующие меры:

  • Немедленно установить официальные патчи и обновления GeoServer, закрывающие CVE-2024-36401;
  • Ограничить доступ к экземплярам GeoServer — применять firewall, VPN и правила доступа по IP; по возможности не выставлять администрационные интерфейсы в публичный доступ;
  • Провести аудит и сегментацию сети: изолировать критичные сервисы и минимизировать привилегии;
  • Проверить системы на наличие процессов и конфигураций XMRig, установить контроль целостности файлов и наличие необычных RAR SFX/дропперов;
  • Проверить наличие и конфигурацию AnyDesk и других инструментов удаленного доступа; при несанкционированной установке — считать систему скомпрометированной;
  • Ограничить использование утилит типа certutil и «встроенных» загрузчиков, если они не нужны в рабочем процессе;
  • Внедрить EDR/антивирусные решения с сигнатурами для обнаружения XMRig и связанных шаблонов поведения;
  • Произвести полное расследование инцидента, восстановление из надежных бэкапов и смену учетных данных при необходимости;
  • Наладить мониторинг логов, сетевого трафика и метрик производительности для раннего обнаружения повторных попыток эксплуатации.

Вывод

Эксплуатация уязвимости CVE-2024-36401 в GeoServer — яркий пример того, как публично доступные уязвимости быстро превращаются в масштабные кампании по распространению майнеров и дополнительного вредоносного ПО. Компании и администраторы GIS-инфраструктур должны действовать оперативно: устанавливать патчи, ограничивать доступ, мониторить активность и готовить план реагирования. Промедление увеличивает риск длительной компрометации и значительных операционных потерь.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: