Специалисты Агентства по кибербезопасности и инфраструктурной безопасности США (CISA) сообщили о серьёзном инциденте — хакеры смогли получить доступ к сети одного из гражданских федеральных ведомств, воспользовавшись критической уязвимостью в серверном ПО GeoServer. Проблема касалась неисправленной версии платформы, что открыло злоумышленникам путь к удалённому выполнению кода и последующему внедрению в систему.
Опасная уязвимость, обозначенная как CVE-2024-36401, была официально устранена 18 июня 2024 года, однако на тот момент многие серверы оставались без обновлений. Примерно через месяц CISA добавила её в публичный реестр активно используемых уязвимостей. Причиной послужили появившиеся в открытом доступе демонстрационные эксплойты, опубликованные рядом исследователей. Они продемонстрировали, как уязвимость позволяет запускать произвольный код на незащищённых машинах.
Как уточняется в публикации CISA, уже 9 июля 2024 года служба Shadowserver зафиксировала реальную волну атак, связанных с этой уязвимостью. По данным OSINT-платформы ZoomEye, в сети находилось свыше 16 тыс. серверов GeoServer, доступных извне. Именно через такой один из серверов злоумышленники проникли в IT-систему неназванного американского ведомства. Всего за два дня после начала атак был взломан первый сервер, а спустя ещё пару недель — второй.
Следующим шагом стал взлом внутреннего веб-сервера и базы данных на платформе SQL. В отчёте CISA говорится, что хакеры загружали на машины веб-шеллы, среди которых был China Chopper, и специализированные скрипты для удалённого управления, кражи данных, повышения прав доступа и выполнения команд.
После проникновения в инфраструктуру, злоумышленники перешли к активной фазе сбора данных, используя, как указывает CISA, приёмы перебора паролей (тактика T1110) и захвата учётных записей сервисов через уязвимые компоненты. Весь этот период — около трёх недель — вредоносная активность оставалась незамеченной.
Оповещение пришло только 31 июля 2024 года, когда встроенное средство анализа конечных точек (EDR) определило подозрительный файл на SQL-сервере и отправило сигнал в центр операций безопасности (SOC). С этого момента ведомство при содействии CISA начало внутреннее расследование и изоляцию затронутых систем.
Спустя несколько дней после начального инцидента CISA опубликовало отдельное предостережение для критических объектов инфраструктуры США. В нём подчёркивалась важность проактивного поиска уязвимостей. Несмотря на то, что признаков взлома обнаружено не было, аудит вскрыл широкий спектр рисков: небезопасное хранение паролей, одинаковые учётные данные у локальных администраторов, открытый удалённый доступ, отсутствие корректной настройки сегментации сети и слабый журнал событий.