Selon un avis de la CISA, des acteurs malveillants ont exploité la vulnérabilité CVE-2024-36401 dans des instances GeoServer d’une agence fédérale américaine, tirant parti d’une injection d’eval pour l’accès initial avant de se déplacer latéralement vers des serveurs web et SQL. L’incident n’a été détecté qu’après trois semaines, à la suite d’alertes EDR signalant des téléversements de fichiers suspects sur le serveur SQL.
🚨 Constats clés rapportés par la CISA:
- Patching tardif: correctifs appliqués 11 à 25 jours après divulgation.
- Plan de réponse à incident non testé, compliquant l’assistance de tiers.
- Surveillance EDR insuffisante, entraînant une détection tardive.
🧪 Chaîne d’attaque et outillage:
- Accès initial via CVE-2024-36401 dans deux instances GeoServer.
- Mouvements latéraux vers serveurs web et SQL; usage de web shells (China Chopper).
- Élévation de privilèges avec dirtycow (CVE-2016-5195).
- Reconnaissance avec l’outil de scan réseau fscan.
- C2 via Stowaway (proxy) sur TCP/4441 et TCP/50012.
- LOTL (Living-off-the-Land), brute force d’identifiants, PowerShell et bitsadmin pour transferts, xp_cmdshell pour mouvements latéraux.
🧭 IOCs et TTPs:
- IOCs réseau:
- Ports C2 observés: TCP/4441, TCP/50012.
- Outils/Artefacts: China Chopper, Stowaway, fscan, dirtycow.
- TTPs:
- Exploitation de CVE-2024-36401 (eval injection) pour l’accès initial.
- Web shells, LOTL, PowerShell/bitsadmin, xp_cmdshell.
- Brute force d’identifiants, mouvement latéral vers serveurs web/SQL.
- C2 via proxy et ports dédiés; élévation via CVE-2016-5195.
📝 Le rapport met l’accent sur la nécessité d’un patching rapide, de tests réguliers du plan de réponse à incident, d’une journalisation exhaustive et d’une surveillance continue. Il s’agit d’un rapport d’incident visant à partager des leçons apprises et une analyse technique de la chaîne d’attaque.
🔗 Source originale : https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-266a