GeoServerの脆弱性(CVE-2024-36401)を悪用したマルウェア攻撃が観測される

GeoServerの脆弱性(CVE-2024-36401)を悪用したマルウェア攻撃が観測される

2024年7月1日 地理データの共有編集ができるJAVA製のOSS、GeoServerとGeoToolsで重大な脆弱性が発生しました。9月5日 Fortinetは脅威アクターがこの脆弱性を悪用してマルウェアを配布するキャンペーンを観測した事を発表しました。

GeoServerの脆弱性(CVE-2024-36401)とは

Java ベースのOSS GeoServer は、地理空間データの共有、編集、管理に広く使用されています。GeoServer がXPath 式を使用して特定のリクエスト パラメータを評価する方法に重大な欠陥があり脆弱性 CVE-2024-36401として登録されました。

GeoServerの脆弱性(CVE-2024-36401)を悪用されると、攻撃者は特別に細工した入力値を挿入してリモート コード実行をトリガーし、サーバー上で悪意のあるスクリプトやコマンドを実行できるようになります。

攻撃対象の国

脅威アクターはインドの IT サービス プロバイダー、米国のテクノロジー企業、ベルギーの政府機関、タイとブラジルの通信会社にアクセスしようとしている事が確認されています。

発見されたマルウェア

スパイウェアや複数のマルウェアがダウロードされます。以下はダウロードされる一部有名なマルウェアを解説します。

マルウェア「Mirai」の亜種

2016 年 8 月に MalwareMustDie によって発見され、その名前は日本語で「未来」から由来します。現在、IP カメラ、ホーム ルーター (多くのベンダーが関与)、その他の IoT デバイスなど、ネットワークに接続されたさまざまな組み込みデバイスをターゲットとしており、インストールされるとDDoS攻撃のボットネットなどに利用されます。

「Mirai」はパラス・ジャー、ダルトン・ノーマン、ジョサイア・ホワイトという3人の若者が、Minecraft詐欺の一環として作成されました。

彼らの当初の目的は、 Minecraftサーバーをダウンさせて恐喝計画を実行し、身代金を稼ぐことでしたが、彼らがMiraiのソースコードをオンラインで公開した後、ボットネットは変異し世界中で悪用されていきました。

マルウェア「SideWalk」

Linuxを標的にするバックドア型のマルウェアで、ステルス性が高く複数のアーキテクチャで動作する為、国家の支援を受けている悪名高い中国のハッカー集団「APT41」が悪用する事が非常に多いマルウェアです。

マルウェア「Condi」

TP-Link Archer AX21 (AX1800) Wi-Fi ルータの複数の脆弱性を悪用するマルウェアで、「Mirai」と同様にDDoS攻撃のボットネットに利用されます。

その他仮想通貨の発掘マルウェア

・CoinMiner

・BitCoinMiner

対策

パッチがリリースされているので、最新のソフトウェアへアップデート

参照

Threat Actors Exploit GeoServer Vulnerability CVE-2024-36401

Threat Actors Exploit GeoServer Vulnerability CVE-2024-36401 to Launch Malware Campaigns

TOPへ