CVE-2024-36401: Lỗ Hổng RCE Nghiêm Trọng Trong GeoServer Đang Bị Khai Thác Liên Tục
Trung tâm Tình báo An ninh AhnLab (ASEC) đã xác nhận rằng các phiên bản GeoServer chưa được vá vẫn đang phải đối mặt với các cuộc tấn công liên tục từ các tác nhân đe dọa, những kẻ này đang khai thác một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng, được định danh là CVE-2024-36401.
Bối Cảnh Lỗ Hổng
GeoServer là một máy chủ Hệ thống Thông tin Địa lý (GIS) mã nguồn mở, được phát triển bằng ngôn ngữ lập trình Java, chuyên dùng để xử lý dữ liệu không gian. Sau khi lỗ hổng CVE-2024-36401 được công bố vào đầu năm 2024, GeoServer đã nhanh chóng trở thành mục tiêu hàng đầu của các nhóm tấn công mạng trên toàn cầu. Lỗ hổng này mang tính chất nghiêm trọng, cho phép kẻ tấn công thực hiện các hành vi trái phép trên hệ thống bị ảnh hưởng.
Cơ Chế Khai Thác
Cơ chế khai thác lỗ hổng CVE-2024-36401 cho phép những người dùng không được ủy quyền khả năng thực thi các đoạn mã tùy ý trên các hệ thống mục tiêu. Điều này mở ra một cánh cửa nguy hiểm, cho phép kẻ tấn công kiểm soát hoàn toàn hệ thống, từ việc triển khai các loại mã độc khác nhau cho đến việc thiết lập quyền truy cập liên tục. Khả năng thực thi mã từ xa là một trong những loại lỗ hổng nguy hiểm nhất, vì nó có thể dẫn đến việc kiểm soát hoàn toàn hệ thống bị xâm nhập mà không cần tương tác trực tiếp với nạn nhân.
Các Chiến Dịch Tấn Công Nổi Bật
Các báo cáo từ nhiều tổ chức an ninh mạng uy tín đã làm nổi bật mức độ nghiêm trọng và phạm vi ảnh hưởng của các cuộc tấn công này. Điều này cho thấy các tác nhân đe dọa đang tích cực tìm kiếm và khai thác các phiên bản GeoServer chưa được bảo vệ.
Mục Tiêu và Phạm Vi
Vào tháng 9 năm 2024, Fortinet đã công bố các chiến dịch tấn công phân phối nhiều loại mã độc khác nhau như GOREVERSE, SideWalk, Mirai, Condi và CoinMiner thông qua lỗ hổng CVE-2024-36401. Sự đa dạng của các loại payload cho thấy mục tiêu của kẻ tấn công có thể khác nhau, từ thiết lập backdoor để kiểm soát hệ thống cho đến việc biến chúng thành một phần của botnet hoặc sử dụng tài nguyên để đào tiền điện tử.
Tương tự, Trend Micro đã vạch trần một chiến dịch do nhóm tác nhân đe dọa Earth Baxia thực hiện, nhắm mục tiêu vào một cơ quan chính phủ Đài Loan. Chiến dịch này sử dụng các chiến thuật lừa đảo có chủ đích (spear-phishing) kết hợp với việc khai thác chính lỗ hổng CVE-2024-36401. Điều này nhấn mạnh phạm vi toàn cầu của các mối đe dọa này và khả năng nhắm mục tiêu vào các tổ chức có giá trị.
Hàn Quốc đã trở thành một trọng điểm cho các cuộc tấn công này, với ASEC ghi nhận các trường hợp lây nhiễm trong môi trường Windows đang chạy các phiên bản GeoServer dễ bị tấn công. Tuy nhiên, chiến lược nhắm mục tiêu kép hệ điều hành cho thấy sự tinh vi của kẻ tấn công, khi chúng điều chỉnh cách tiếp cận dựa trên môi trường của nạn nhân (Windows hoặc Linux), nhằm tối đa hóa tác động.
Chuỗi Tấn Công và Mã Độc
Quá trình khai thác CVE-2024-36401 thường mở đầu cho một chuỗi các hoạt động sau khi xâm nhập, được thiết kế để thiết lập quyền kiểm soát, duy trì sự hiện diện và thực hiện các mục tiêu độc hại.
Thiết Lập Quyền Truy Cập Ban Đầu
Sau khi khai thác thành công CVE-2024-36401, kẻ tấn công thường lợi dụng lỗ hổng này để thực thi các lệnh ban đầu trên hệ thống mục tiêu. Trong môi trường Windows, điều này có thể liên quan đến việc thực thi các lệnh PowerShell được tải xuống từ các URL độc hại. Mục tiêu chính của giai đoạn này là cài đặt NetCat, một công cụ mạng đa năng thường bị lạm dụng như một shell đảo ngược (reverse shell) để điều khiển từ xa các hệ thống đã bị xâm nhập. Thông qua NetCat, kẻ tấn công có thể thiết lập kết nối đến các máy chủ chỉ huy và kiểm soát (C&C) của chúng, cho phép duy trì quyền truy cập liên tục vào hệ thống bị xâm nhập.
Triển Khai Mã Độc Đào Tiền Ảo
Sau khi thiết lập quyền truy cập ban đầu và có được kênh liên lạc ổn định, các tác nhân đe dọa sẽ triển khai các payload độc hại chính. Một trong những payload phổ biến được ASEC ghi nhận là XMRig, một công cụ đào tiền điện tử khét tiếng. XMRig được sử dụng để đào đồng Monero bằng cách chiếm dụng tài nguyên hệ thống (CPU và GPU) của máy chủ bị tấn công, dẫn đến hiệu suất hệ thống suy giảm nghiêm trọng.
Trong các hệ thống Windows, các script PowerShell được tải xuống từ các URL độc hại sẽ khởi tạo quá trình cài đặt XMRig và các mã độc đào tiền điện tử khác. Trong khi đó, trong môi trường Linux, các script Bash nhiều khả năng được sử dụng để đạt được kết quả tương tự. Điều này bao gồm việc chấm dứt các tiến trình đào tiền điện tử cạnh tranh để độc quyền tài nguyên và đảm bảo tính bền vững thông qua các công việc định kỳ (Cron jobs) liên kết với các script được lưu trữ trên Pastebin. Việc sử dụng Cron jobs giúp mã độc tự khởi chạy lại sau khi hệ thống khởi động lại hoặc khi tiến trình bị chấm dứt, đảm bảo sự hiện diện liên tục của mã độc.
Hậu Quả và Rủi Ro Gia Tăng
Việc cài đặt mã độc đào tiền điện tử (CoinMiner) không chỉ làm suy giảm đáng kể hiệu suất hệ thống do chiếm dụng tài nguyên xử lý. Nó còn tiềm ẩn nguy cơ lớn hơn. Sự hiện diện của một backdoor như NetCat, được thiết lập trong giai đoạn đầu của cuộc tấn công, có thể trở thành một cổng vào cho các hoạt động độc hại tiếp theo. Điều này có thể bao gồm việc đánh cắp dữ liệu nhạy cảm, triển khai thêm các loại mã độc nguy hiểm khác như ransomware hoặc spyware, hoặc biến hệ thống thành một điểm tựa để tấn công các hệ thống khác trong mạng nội bộ của tổ chức. Rủi ro từ một cuộc tấn công ban đầu có thể leo thang thành một vi phạm an ninh nghiêm trọng hơn nhiều.
Chỉ Số Lây Nhiễm (IOCs)
Dưới đây là các Chỉ số Lây nhiễm (IOCs) chính được ASEC xác định liên quan đến các cuộc tấn công này, giúp các tổ chức nhận diện và ứng phó:
* Lỗ hổng khai thác:
* CVE-2024-36401 (Lỗ hổng thực thi mã từ xa trong GeoServer)
* Mã độc và Payload:
* GOREVERSE
* SideWalk
* Mirai
* Condi
* CoinMiner (Tên chung cho các mã độc đào tiền điện tử)
* XMRig (Mã độc đào tiền điện tử Monero)
* Công cụ được sử dụng:
* NetCat (Thường bị lạm dụng để thiết lập reverse shell và kết nối C&C)
* PowerShell scripts (Thực thi trên Windows)
* Bash scripts (Thực thi trên Linux)
* Tác nhân đe dọa:
* Earth Baxia (Được Trend Micro ghi nhận)
* Khu vực ảnh hưởng:
* Hàn Quốc (Được ASEC ghi nhận là trọng điểm lây nhiễm)
Biện Pháp Giảm Thiểu và Phòng Ngừa
Theo báo cáo từ ASEC, các phát hiện của họ nhấn mạnh nhu cầu cấp bách đối với các tổ chức phải vá hệ thống của mình. Các cuộc tấn công này tiếp tục diễn ra không ngừng, lợi dụng sự chậm trễ trong việc cập nhật các phiên bản GeoServer chưa được vá trên nhiều khu vực và lĩnh vực khác nhau.
Các tổ chức được khuyến cáo mạnh mẽ rằng cần cập nhật GeoServer lên phiên bản mới nhất đã được vá càng sớm càng tốt. Điều này là biện pháp quan trọng nhất để loại bỏ lỗ hổng CVE-2024-36401 và ngăn chặn các cuộc tấn công tương tự. Bên cạnh đó, việc giám sát chặt chẽ hoạt động mạng đáng ngờ liên quan đến các IOC đã nêu trên là hết sức cần thiết. Giám sát bao gồm theo dõi lưu lượng mạng, kiểm tra các kết nối bất thường, và quét hệ thống để phát hiện sự hiện diện của các mã độc hoặc công cụ độc hại đã được xác định. Việc kết hợp cả vá lỗi và giám sát chủ động sẽ giúp giảm thiểu rủi ro từ mối đe dọa đang diễn ra này.
