Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Przejmują GeoServery, również w Polsce i kopią na nich kryptowalutę. Atakujący uzyskują również zdalny dostęp do serwera.
Uwaga na krytyczną podatność CVE-2024-36401. Luka umożliwia na zdalne wykonanie kodu / poleceń na serwerze i nie wymaga żadnego uwierzytelnienia
Sam exploit jest prosty i polega w zasadzie na ustawieniu pewnego parametru w żądaniu HTTP GET lub POST, na wartość:
exec(java.lang.Runtime.getRuntime(),’touch /tmp/success2′)
A dokładniej wygląda to tak:
Atakujący w powyższym przykładzie pobierają po prostu swoje oprogramowanie, umożliwiające na trwały dostęp do serwera (backdoor) i je uruchamiają. Badacze z Fortinetu wykryli kilka wariantów złośliwego oprogramowania, jest też koparka kryptowalut, która po instalacji ukrywa się pod nazwą sshd.
Podatność została załatana w lipcu tego roku, ale jak widać trochę osób / firm nie zaktualizowało używanego oprogramowania:
~ms