Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Przejmują GeoServery, również w Polsce i kopią na nich kryptowalutę. Atakujący uzyskują również zdalny dostęp do serwera.

11 września 2024, 17:55 | W biegu | 0 komentarzy

Uwaga na krytyczną podatność CVE-2024-36401. Luka umożliwia na zdalne wykonanie kodu / poleceń na serwerze i nie wymaga żadnego uwierzytelnienia

Sam exploit jest prosty i polega w zasadzie na ustawieniu pewnego parametru w żądaniu HTTP GET lub POST, na wartość:

exec(java.lang.Runtime.getRuntime(),’touch /tmp/success2′)

A dokładniej wygląda to tak:

Atakujący w powyższym przykładzie pobierają po prostu swoje oprogramowanie, umożliwiające na trwały dostęp do serwera (backdoor) i je uruchamiają. Badacze z Fortinetu wykryli kilka wariantów złośliwego oprogramowania, jest też koparka kryptowalut, która po instalacji ukrywa się pod nazwą sshd.

Podatność została załatana w lipcu tego roku, ale jak widać trochę osób / firm nie zaktualizowało używanego oprogramowania:

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz