CISA telah mengungkapkan bahwa penyerang melanggar jaringan Badan Cabang Eksekutif Federal (FCEB) AS yang tidak disebutkan namanya tahun lalu setelah mengkompromikan instance Geoserver yang tidak ditambatkan.
Bug keamanan (dilacak sebagai CVE-2024-36401) adalah kerentanan Eksekusi Remote (RCE) yang kritis yang ditambal pada 18 Juni 2024. CISA menambahkan cacat pada katalog kerentanan yang dieksploitasi secara aktif Kira -kira satu bulan kemudiansetelah beberapa peneliti keamanan berbagi eksploitasi bukti-konsep secara online[[1, 2, 3]mendemonstrasikan cara mendapatkan eksekusi kode pada server yang terbuka.
Sementara Badan Cybersecurity tidak memberikan perincian apa pun tentang bagaimana kelemahan dieksploitasi di alam liar, layanan pemantauan ancaman Shadowserver mengamati serangan CVE-2024-36401 Mulai 9 Juli 2024sementara mesin pencari osint zoomeye sedang melacak Lebih dari 16.000 server Geoserver yang terpapar online.
Dua hari setelah serangan pertama terdeteksi, para aktor ancaman memperoleh akses ke server Geoserver agen federal AS dan mengkompromikan satu lagi sekitar dua minggu kemudian. Pada tahap serangan berikutnya, mereka bergerak secara lateral melalui jaringan agensi, melanggar server web dan server SQL.
“Di setiap server, mereka mengunggah (atau berusaha mengunggah) cangkang web seperti China Chopper, bersama dengan skrip yang dirancang untuk akses jarak jauh, kegigihan, eksekusi perintah, dan eskalasi hak istimewa,” Kata Cisa dalam penasihat hari Selasa.
“Begitu berada di dalam jaringan organisasi, aktor ancaman cyber terutama mengandalkan teknik brute force [T1110] untuk mendapatkan kata sandi untuk pergerakan lateral dan eskalasi hak istimewa. Mereka juga mengakses akun layanan dengan mengeksploitasi layanan terkait mereka. “
Aktor -aktor ancaman tetap tidak terdeteksi selama tiga minggu sampai alat deteksi dan respons titik akhir agen federal (EDR) memperingatkan Pusat Operasi Keamanan (SOC) untuk pelanggaran, menandai file seperti dugaan malware di SQL Server pada 31 Juli 2024.
Setelah aktivitas jahat penyerang memicu peringatan EDR tambahan, tim SOC mengisolasi server dan meluncurkan penyelidikan dengan bantuan CISA.
Cisa sekarang mendesak pembela jaringan untuk mempercepat penambalan kerentanan kritis (terutama yang ditambahkan ke dalamnya Katalog kerentanan yang diketahui), Pastikan pusat operasi keamanan terus memantau peringatan EDR untuk aktivitas jaringan yang mencurigakan, dan memperkuat rencana respons insiden mereka.
Pada bulan Juli, Badan Keamanan Cybersurity AS mengeluarkan penasihat lain mengikuti keterlibatan perburuan proaktif di organisasi infrastruktur kritis AS.
Meskipun tidak menemukan bukti aktivitas jahat di jaringannya, ia menemukan banyak risiko keamanan siber, termasuk tetapi tidak terbatas pada kredensial yang disimpan secara tidak aman, berbagi kredensial admin lokal di berbagai workstation, akses jarak jauh yang tidak dibatasi untuk akun administrator lokal, penebangan yang tidak memadai, dan masalah konfigurasi segmentasi jaringan.
