Уязвимость CVE-2024-36401 угрожает геосерверам майнерами и вредоносом

Источник: asec.ahnlab.com
Аналитический центр безопасности AhnLab (ASEC) зафиксировал рост активности злоумышленников, нацеливающихся на незащищённые геосерверы. Ключевым объектом атак стала недавно опубликованная уязвимость CVE-2024-36401, позволяющая выполнять удалённый код без аутентификации. Хакеры используют её для внедрения майнеров и вредоносных программ, что создаёт серьёзные риски как для коммерческих, так и для государственных структур.
Основные угрозы и методы эксплуатации
Уязвимость CVE-2024-36401 позволяет злоумышленникам запускать произвольный код на геосерверах, не требуя предварительной авторизации. Это даёт возможность обходить стандартные меры защиты и быстро распространять вредоносное ПО, среди которого особенно выделяются:
- GOREVERSE
- SideWalk
- Mirai
- Condi
- CoinMiner
При этом особое внимание стоит уделить недавним атакам группировки Earth Baxia, которая организовала кампании с использованием скрытого фишинга в правительственных учреждениях Тайваня, комбинируя его с эксплуатацией CVE-2024-36401.
Технические детали атак
Во время внутренних инцидентов злоумышленники эксплуатировали уязвимость в средах Windows, где установлены геосерверы без необходимых патчей. В ходе атак выполнялась PowerShell-команда, загружающая скрипт под названием adminc.ps1. Этот скрипт устанавливал утилиту NetCat — инструмент для передачи сетевых данных, позволяющий злоумышленникам получить удалённый доступ и управлять системой с командно-контрольного сервера (C&C).
Методы распространения вредоносного ПО оказались универсальными и эффективными для различных операционных систем:
- Для Windows злоумышленники использовали PowerShell-скрипты.
- Для Linux применялись скрипты на Bash.
Обе платформы использовались для установки XMRig — программного обеспечения для майнинга криптовалюты Monero. Перед запуском выполнялись команды, завершающие процессы конкурирующих майнеров, обеспечивая полный контроль над ресурсами заражённой системы.
Последствия для безопасности и рекомендации
После успешной установки майнеры начинают использовать ресурсы целевой системы для добычи Monero на благо злоумышленников, что приводит к снижению производительности, перегреву оборудования и увеличению затрат на электроэнергию.
Эксперты ASEC подчёркивают важность срочного применения патчей для устранения уязвимости CVE-2024-36401 и рекомендуют организациям:
- Регулярно проверять и обновлять GeoServer и другие связанные сервисы.
- Контролировать сетевой трафик на предмет подозрительных подключений к C&C-серверам.
- Использовать многофакторную аутентификацию и ограничивать доступ к критическим системам.
- Следить за активностью PowerShell и Bash-скриптов, особенно подозрительных команд загрузки и запуска.
Без должной защиты и внимания последствия подобных инцидентов могут быть весьма серьёзными, особенно для государственных и ключевых инфраструктурных учреждений.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



