威胁行为者利用GeoServer漏洞CVE-2024-36401
字数 2181 2025-08-20 18:18:10

GeoServer漏洞CVE-2024-36401分析与防御指南

漏洞概述

漏洞编号: CVE-2024-36401
CVSS评分: 9.8 (严重)
影响版本: GeoServer 2.23.6、2.24.4和2.25.2之前的版本
漏洞类型: 远程代码执行(RCE)
攻击复杂度: 低 - 无需身份验证即可利用
影响范围: 任何使用受影响GeoServer版本的组织

漏洞原理

GeoServer是一个用Java编写的开源地理空间数据服务器,实现了OGC的WFS和WCS标准。该漏洞源于不安全地评估属性名作为XPath表达式,允许攻击者通过特别构造的输入在默认GeoServer安装上执行任意代码。

漏洞利用分析

时间线

  • 2024年7月1日: 项目维护者发布漏洞公告
  • 2024年7月15日: CISA将其添加到已知被利用漏洞(KEV)目录
  • 2024年7月16日: FortiGuard Labs添加IPS签名并观察到多个攻击活动

攻击活动观察

攻击者主要利用此漏洞传播以下恶意软件家族:

  1. GOREVERSE - 反向代理恶意软件
  2. SideWalk - 复杂的Linux后门(与APT41相关)
  3. JenX - Mirai僵尸网络变种
  4. Condi - 多架构僵尸网络
  5. 多种加密货币矿工

恶意软件详细分析

1. GOREVERSE恶意软件

攻击流程:

  1. hxxp://181[.]214[.]58[.]14:61231/remote.sh下载脚本
  2. 脚本检测受害者OS和架构,下载对应恶意文件
  3. 执行后删除痕迹

技术特点:

  • 使用UPX打包
  • 连接非标准端口18201到C2服务器(181.214.58.14)
  • 主要针对IT服务提供商、科技公司、政府实体和电信公司

2. SideWalk后门

攻击流程:

  1. hxxp://1[.]download765[.]online/d下载批处理脚本
  2. 创建随机命名的TMP目录
  3. 使用XOR(0xCC)解码库文件和下一阶段载荷
  4. 执行复杂的多阶段攻击

技术特点:

  • 支持ARM、MIPS和X86架构
  • 使用ChaCha20算法加密配置(硬编码密钥)
  • C2服务器: secure.systemupdatecdn.de (47.253.46.11:80)
  • 包含FRP(Fast Reverse Proxy)插件用于隐蔽通信
  • 主要感染南美、欧洲和亚洲地区

3. JenX (Mirai变种)

攻击流程:

  1. hxxp://188[.]214[.]27[.]50:4782下载"sky"文件
  2. 使用0x3A XOR解码配置
  3. 连接C2服务器: bots.gxz.me

技术特点:

  • 包含华为路由器漏洞CVE-2017-17215的硬编码载荷
  • 包含暴力攻击凭据列表
  • 尝试从59.59.59.59下载额外恶意软件

4. Condi僵尸网络

攻击流程:

  1. 终止多个进程(mpsl、mipsel等)
  2. hxxp://209[.]146[.]124[.]181:8030下载多架构bot
  3. 向trcpay.xyz发送DNS查询

技术特点:

  • 支持ARM、MIPS、PPC、X86、M68K、SH4和MPSL架构
  • 多种DDoS攻击方法(TCP/UDP洪水等)
  • 服务器还托管Linux2.4僵尸网络和Windows后门taskhost.exe

5. 加密货币矿工

观察到四种不同类型的矿工攻击:

类型1:

  • hxxp://oss[.]17ww[.]vip下载
  • 卸载云平台监控(腾讯云、阿里云等)
  • 矿池: 9527527.xyz:3333

类型2:

  • 从repositorylinux.com下载
  • 使用AWS云服务分发
  • 矿池: pool.supportxmr.com:80

类型3:

  • 从95.85.93.196下载
  • 删除/tmp、/var等目录文件
  • 矿池: youdontcare.com:81

类型4:

  • 模仿印度特许会计师协会网站(112.133.194.254)
  • 使用cron实现持久性
  • 矿池: pool.supportxmr.com:3333

防御措施

1. 漏洞修复

  • 立即升级到GeoServer 2.23.6、2.24.4或2.25.2版本
  • 开发人员已使用JXPathUtils.newSafeContext替代不安全函数

2. 网络防护

  • 部署IPS/IDS系统检测相关攻击特征
  • 防火墙规则限制GeoServer服务器出站连接
  • 监控异常网络流量(特别是非标准端口)

3. 系统加固

  • 实施最小权限原则
  • 定期审计系统进程和文件变更
  • 禁用不必要的服务和功能

4. 安全监控

  • 设置日志集中收集和分析
  • 监控可疑的进程创建和网络连接
  • 特别关注/tmp和/var等临时目录活动

5. 应急响应

  • 隔离受感染系统
  • 检查IoC列表中的相关指标
  • 重置所有凭据
  • 进行全面系统扫描

入侵指标(IoC)

完整IoC列表请参考原始报告,包括:

  • 恶意URL和IP地址
  • 文件哈希(SHA256)
  • 加密货币钱包地址
  • C2服务器域名和端口

结论

CVE-2024-36401是一个严重的高危漏洞,已被多个威胁行为者广泛利用。攻击者主要目标是部署后门、僵尸网络和加密货币矿工。组织应立即修补漏洞,并实施深度防御策略来检测和阻止相关攻击。

GeoServer漏洞CVE-2024-36401分析与防御指南 漏洞概述 漏洞编号 : CVE-2024-36401 CVSS评分 : 9.8 (严重) 影响版本 : GeoServer 2.23.6、2.24.4和2.25.2之前的版本 漏洞类型 : 远程代码执行(RCE) 攻击复杂度 : 低 - 无需身份验证即可利用 影响范围 : 任何使用受影响GeoServer版本的组织 漏洞原理 GeoServer是一个用Java编写的开源地理空间数据服务器,实现了OGC的WFS和WCS标准。该漏洞源于不安全地评估属性名作为XPath表达式,允许攻击者通过特别构造的输入在默认GeoServer安装上执行任意代码。 漏洞利用分析 时间线 2024年7月1日 : 项目维护者发布漏洞公告 2024年7月15日 : CISA将其添加到已知被利用漏洞(KEV)目录 2024年7月16日 : FortiGuard Labs添加IPS签名并观察到多个攻击活动 攻击活动观察 攻击者主要利用此漏洞传播以下恶意软件家族: GOREVERSE - 反向代理恶意软件 SideWalk - 复杂的Linux后门(与APT41相关) JenX - Mirai僵尸网络变种 Condi - 多架构僵尸网络 多种加密货币矿工 恶意软件详细分析 1. GOREVERSE恶意软件 攻击流程 : 从 hxxp://181[.]214[.]58[.]14:61231/remote.sh 下载脚本 脚本检测受害者OS和架构,下载对应恶意文件 执行后删除痕迹 技术特点 : 使用UPX打包 连接非标准端口18201到C2服务器(181.214.58.14) 主要针对IT服务提供商、科技公司、政府实体和电信公司 2. SideWalk后门 攻击流程 : 从 hxxp://1[.]download765[.]online/d 下载批处理脚本 创建随机命名的TMP目录 使用XOR(0xCC)解码库文件和下一阶段载荷 执行复杂的多阶段攻击 技术特点 : 支持ARM、MIPS和X86架构 使用ChaCha20算法加密配置(硬编码密钥) C2服务器: secure.systemupdatecdn.de (47.253.46.11:80) 包含FRP(Fast Reverse Proxy)插件用于隐蔽通信 主要感染南美、欧洲和亚洲地区 3. JenX (Mirai变种) 攻击流程 : 从 hxxp://188[.]214[.]27[.]50:4782 下载"sky"文件 使用0x3A XOR解码配置 连接C2服务器: bots.gxz.me 技术特点 : 包含华为路由器漏洞CVE-2017-17215的硬编码载荷 包含暴力攻击凭据列表 尝试从59.59.59.59下载额外恶意软件 4. Condi僵尸网络 攻击流程 : 终止多个进程(mpsl、mipsel等) 从 hxxp://209[.]146[.]124[.]181:8030 下载多架构bot 向trcpay.xyz发送DNS查询 技术特点 : 支持ARM、MIPS、PPC、X86、M68K、SH4和MPSL架构 多种DDoS攻击方法(TCP/UDP洪水等) 服务器还托管Linux2.4僵尸网络和Windows后门taskhost.exe 5. 加密货币矿工 观察到四种不同类型的矿工攻击: 类型1 : 从 hxxp://oss[.]17ww[.]vip 下载 卸载云平台监控(腾讯云、阿里云等) 矿池: 9527527.xyz:3333 类型2 : 从repositorylinux.com下载 使用AWS云服务分发 矿池: pool.supportxmr.com:80 类型3 : 从95.85.93.196下载 删除/tmp、/var等目录文件 矿池: youdontcare.com:81 类型4 : 模仿印度特许会计师协会网站(112.133.194.254) 使用cron实现持久性 矿池: pool.supportxmr.com:3333 防御措施 1. 漏洞修复 立即升级到GeoServer 2.23.6、2.24.4或2.25.2版本 开发人员已使用 JXPathUtils.newSafeContext 替代不安全函数 2. 网络防护 部署IPS/IDS系统检测相关攻击特征 防火墙规则限制GeoServer服务器出站连接 监控异常网络流量(特别是非标准端口) 3. 系统加固 实施最小权限原则 定期审计系统进程和文件变更 禁用不必要的服务和功能 4. 安全监控 设置日志集中收集和分析 监控可疑的进程创建和网络连接 特别关注/tmp和/var等临时目录活动 5. 应急响应 隔离受感染系统 检查IoC列表中的相关指标 重置所有凭据 进行全面系统扫描 入侵指标(IoC) 完整IoC列表请参考原始报告,包括: 恶意URL和IP地址 文件哈希(SHA256) 加密货币钱包地址 C2服务器域名和端口 结论 CVE-2024-36401是一个严重的高危漏洞,已被多个威胁行为者广泛利用。攻击者主要目标是部署后门、僵尸网络和加密货币矿工。组织应立即修补漏洞,并实施深度防御策略来检测和阻止相关攻击。