Serangan Cyber Memanfaatkan GeoServer



Serangan Cyber Memanfaatkan GeoServer - photo owner: thehackernews - pibitek.biz - CISA

photo owner: thehackernews


336-280
TL;DR
  • Penyerang memanfaatkan celah keamanan GeoServer untuk melakukan serangan siber.
  • Serangan ini menargetkan sistem keamanan dan menguasai instance yang rentan.
  • Perusahaan perlu memperbarui sistem mereka untuk melindungi dari serangan siber.

pibitek.biz -Sebuah celah keamanan yang baru-baru ini terungkap dalam OSGeo GeoServer GeoTools telah disalahgunakan sebagai bagian dari berbagai kampanye untuk mendistribusikan penambang mata uang kripto, malware botnet seperti Condi dan JenX, serta backdoor yang dikenal sebagai SideWalk. Celah keamanan ini adalah bug eksekusi kode jarak jauh kritis (CVE-2024-36401, skor CVSS: 9.8) yang memungkinkan aktor jahat untuk menguasai instance yang rentan. Pada pertengahan Juli, Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) menambahkannya ke dalam katalog Kerentanan yang Dikenal Eksploitasi (KEV), berdasarkan bukti eksploitasi aktif.

Shadowserver Foundation menyatakan bahwa mereka mendeteksi upaya eksploitasi terhadap sensor honeypot mereka mulai 9 Juli 2024. Menurut FortiGuard Labs milik Fortinet, celah keamanan ini telah diamati untuk mengirimkan GOREVERSE, sebuah server proxy terbalik yang dirancang untuk membangun koneksi dengan server komando dan kontrol (C2) untuk aktivitas pasca-eksploitasi. Serangan-serangan ini dikatakan menargetkan penyedia layanan TI di India, perusahaan teknologi di AS, entitas pemerintah di Belgia, dan perusahaan telekomunikasi di Thailand dan Brasil.

Server GeoServer juga telah berfungsi sebagai perantara untuk Condi dan varian botnet Mirai yang disebut JenX, serta setidaknya empat jenis penambang mata uang kripto, salah satunya diperoleh dari situs web palsu yang meniru Institut Akuntan Bersertifikat India (ICAI). Mungkin yang paling menonjol dari rantai serangan yang memanfaatkan celah keamanan ini adalah yang menyebarkan backdoor Linux tingkat lanjut yang disebut SideWalk, yang dikaitkan dengan aktor ancaman China yang dilacak sebagai APT41. Titik awalnya adalah skrip shell yang bertanggung jawab untuk mengunduh biner ELF untuk arsitektur ARM, MIPS, dan X86, yang selanjutnya mengekstrak server C2 dari konfigurasi terenkripsi, terhubung ke sana, dan menerima perintah lebih lanjut untuk dieksekusi pada perangkat yang telah diretas.

Ini termasuk menjalankan alat yang sah yang dikenal sebagai Fast Reverse Proxy (FRP) untuk menghindari deteksi dengan membuat terowongan terenkripsi dari host ke server yang dikendalikan penyerang, memungkinkan akses jarak jauh yang persisten, eksfiltrasi data, dan penyebaran payload. "Target utama tampaknya tersebar di tiga wilayah utama: Amerika Selatan, Eropa, dan Asia", kata peneliti keamanan Cara Lin dan Vincent Li. "Penyebaran geografis ini menunjukkan kampanye serangan yang canggih dan luas, yang berpotensi mengeksploitasi kerentanan yang umum di pasar yang beragam ini atau menargetkan industri tertentu yang lazim di wilayah-wilayah ini".

Perkembangan ini terjadi ketika CISA minggu ini menambahkan dua celah keamanan yang ditemukan pada tahun 2021 dalam DrayTek VigorConnect (CVE-2021-20123 dan CVE-2021-20124, skor CVSS: 7.5) ke dalam katalog KEV-nya, yang dapat dieksploitasi untuk mengunduh file arbitrer dari sistem operasi yang mendasarinya dengan hak akses root. DrayTek VigorConnect adalah perangkat jaringan yang digunakan oleh banyak organisasi, dan kerentanan ini dapat memungkinkan penyerang untuk mengambil kendali atas perangkat ini dan mengakses data sensitif. Keamanan siber menjadi semakin penting karena meningkatnya jumlah serangan dunia maya yang terjadi setiap hari.

Untuk melindungi organisasi mereka, penting bagi organisasi untuk secara proaktif memperbarui sistem mereka, menerapkan praktik keamanan terbaik, dan secara teratur memantau lalu lintas jaringan mereka. Serangan siber dapat berdampak besar pada organisasi, termasuk kehilangan data, gangguan operasional, dan reputasi yang rusak. Sebagai hasil dari serangan ini, berbagai entitas penting dapat sangat terpengaruh, termasuk perusahaan teknologi, penyedia layanan TI, dan entitas pemerintah. Serangan siber pada GeoServer dan DrayTek VigorConnect menggarisbawahi pentingnya memperbarui sistem kamu dan menerapkan praktik keamanan terbaik.

Serangan ini juga menunjukkan bahwa penyerang terus mencari celah keamanan baru dan cara baru untuk mengeksploitasi sistem yang rentan. Organisasi perlu waspada terhadap ancaman keamanan dunia maya yang terus berkembang dan mengambil langkah-langkah untuk melindungi sistem dan data mereka. Hal ini termasuk memperbarui sistem dengan tambalan keamanan terbaru, menggunakan software antivirus, dan melatih karyawan tentang praktik keamanan siber terbaik. Dengan melakukan ini, organisasi dapat mengurangi risiko menjadi korban serangan siber dan melindungi bisnis mereka dari dampak negatif.