🛡 概要
CISAは、昨年、無名の米国連邦行政機関が未パッチのGeoServerインスタンスを通じて攻撃を受けたことを発表しました。この脆弱性(CVE-2024-36401)は、2024年6月18日に修正されたクリティカルなリモートコード実行(RCE)脆弱性であり、CISAは約1か月後にこの脆弱性を積極的に悪用されている脆弱性のカタログに追加しました。セキュリティ研究者たちが公開した概念実証(PoC)を通じて、攻撃者が露出したサーバーでコードを実行する方法が示されました。
🔍 技術詳細
脆弱性CVE-2024-36401は、GeoServerの設定不備によって引き起こされるリモートコード実行の脆弱性です。この脆弱性は、特に未パッチのインスタンスで悪用される可能性が高く、攻撃者はネットワーク内の他のサーバーに横移動することができます。CISAによると、攻撃者はまずGeoServerサーバーにアクセスし、次にWebサーバーやSQLサーバーに侵入しました。攻撃者は、China ChopperなどのWebシェルをアップロードし、リモートアクセスや特権昇格を目的としたスクリプトを使用しました。
⚠ 影響
この攻撃により、連邦機関のネットワークが侵害され、攻撃者は約3週間の間、検知されることなく活動を続けました。最終的に、エンドポイント検知および応答(EDR)ツールがSQLサーバー上のファイルを疑わしいマルウェアとして警告し、SOCが調査を開始しました。攻撃者は、パスワードの取得や特権昇格のためにブルートフォース技術を利用し、サービスアカウントへのアクセスも試みました。
🛠 対策
CISAは、ネットワーク防御者に対して、特に既知の悪用脆弱性カタログに追加されたクリティカルな脆弱性のパッチ適用を迅速に行い、EDRアラートを継続的に監視し、インシデント対応計画を強化するよう呼びかけています。また、米国の重要インフラ組織におけるプロアクティブなハント活動の結果、セキュリティリスクが多数発見されました。これには、不適切に保存された認証情報や、複数のワークステーション間で共有されたローカル管理者の認証情報、制限のないリモートアクセスなどが含まれます。
