Кибербезопасность США извлекла уроки из инцидента с уязвимостью в GeoServer

Инцидент начался 11 июля 2024 года, когда злоумышленники воспользовались уязвимостью CVE-2024-36401 в публично доступном GeoServer. Эта уязвимость, позволяющая выполнять удаленный код, была публично раскрыта 30 июня. Спустя всего 11 дней после публикации информация об уязвимости была использована для атаки. Через две недели, 24 июля, те же злоумышленники получили доступ ко второму серверу GeoServer через идентичную уязвимость, которая к тому моменту уже была внесена в каталог активно эксплуатируемых уязвимостей CISA. Требования директивы BOD 22-01 обязывают федеральные агентства устранять такие уязвимости в установленные сроки, однако патч не был применен вовремя.

В течение трехнедельного периода злоумышленники не только закрепились в системе, но и перемещались по сети, используя разнообразные техники. После первоначального доступа к GeoServer 1 они переместились на веб-сервер, а затем на SQL-сервер. На каждом этапе атаки использовались веб-оболочки, такие как China Chopper, и открытые инструменты для удаленного доступа, повышения привилегий и сохранения устойчивости. Для маскировки своей деятельности злоумышленники применяли методы работы с использованием штатных средств системы, что затрудняло обнаружение.

Важным аспектом атаки стало использование прокси-инструмента Stowaway для организации командного канала. Этот инструмент позволял перенаправлять трафик через скомпрометированный веб-сервер, обходя сетевые ограничения. Примечательно, что система обнаружения и реагирования на конечных точках сгенерировала оповещение о наличии Stowaway на GeoServer 1 уже 15 июля, но это предупреждение осталось без внимания службы безопасности агентства. Фактическое обнаружение инцидента произошло только 31 июля, когда EDR-система идентифицировала подозрительный файл на SQL-сервере.

Анализ CISA выявил три фундаментальные проблемы в безопасности пострадавшего агентства. Первой и наиболее критической оказалось несвоевременное устранение известных уязвимостей. Несмотря на наличие директивных требований и очевидную угрозу, критические системы оставались уязвимыми в течение длительного времени. Второй проблемой стала недостаточная подготовленность плана реагирования на инциденты. Документ не содержал процедур для привлечения внешних экспертов и предоставления им доступа к инструментам безопасности, что значительно замедлило работу группы CISA после обращения агентства за помощью. Третьим упущением стал недостаточный мониторинг оповещений систем безопасности и отсутствие защиты на некоторых публично доступных системах.

Данный инцидент наглядно демонстрирует, что даже в организациях с формально выстроенными процессами безопасности могут существовать существенные пробелы. Сочетание несвоевременного патчинга, неотработанных планов реагирования и недостаточного мониторинга создает условия для успешных длительных атак. Следование рекомендациям CISA позволяет значительно повысить устойчивость к современным киберугрозам и сократить время от момента проникновения до обнаружения и нейтрализации атаки. Постоянная проверка и валидация средств защиты против тактик, описанных в матрице MITRE ATT&CK, является неотъемлемой частью зрелого подхода к кибербезопасности.

IPv4

• 45.17.43.250
• 45.32.22.62

MD5

• 0777ea1d01dad6dc261a6b602205e2c8
• 20b70dac937377b6d0699a44721acd80
• 64e3a3458b3286caaac821c343d4b208
• b7b3647e06f23b9e83d0b1cce3e71642
• c9f4c41c195b25675bfa860eb9b45945
• de778443619f37e2224898a9a800fa78
• feda15d3509b210cb05eacc22485a78c

SHA1

• 32357ed5c1c0a214c5a8d9ea11de3c06a3cf2fae
• 8138eba6398650bdbf0c9483515fa5766ef3427a
• 86f337763ec6d1da2b1176249f4b76f83596e816

SHA256

• 1062fb5002e9a47f187b59afc6b2995a7c412dc48d589d2ea1f6ee89230f6a72
• 42202a67748c6a5eb735e8241ef144462d9323894579a2f063fa2f82c91eca08
• dff3e75f2f72f8123be76f010d7bd71f5f7508dfac84b2b52a721e779abc50c9