Source: BleepingComputer — La CISA a indiqué que des attaquants ont compromis le réseau d’une agence civile du pouvoir exécutif américain (FCEB) l’an dernier en exploitant une instance GeoServer non patchée.
En 2024, des acteurs malveillants ont compromis le réseau d’une agence fédérale civile américaine suite à l’exploitation d’une vulnérabilité critique de type exécution de code à distance (RCE), référencée CVE-2024-36401, dans un serveur GeoServer non patché. Cette faille affecte les versions antérieures à 2.23.6, 2.24.4 et 2.25.2 et provient d’une mauvaise évaluation sécurisée des expressions XPath via la bibliothèque GeoTools, permettant à un attaquant non authentifié de lancer du code arbitraire. Le correctif a été publié le 18 juin 2024.
Les attaquants ont d’abord obtenu un accès initial à un serveur GeoServer exposé en ligne, puis ont étendu leur contrôle à un second GeoServer ainsi qu’à des serveurs web et SQL internes, en déployant des web shells comme China Chopper pour maintenir leur présence et escalader les privilèges. Ils ont également utilisé des techniques dites “living off the land” et des attaques par force brute pour voler des mots de passe et se déplacer latéralement à travers le réseau de la victime sur plusieurs semaines, jusqu’à ce qu’une alerte EDR signale une activité suspecte fin juillet 2024.
CISA recommande vivement aux gestionnaires de systèmes d’appliquer rapidement les correctifs pour cette vulnérabilité ajoutée à la liste des failles régulièrement exploitées, de maintenir une surveillance active via les outils EDR et d’améliorer leurs capacités de réponse aux incidents.
- 🧭 Contexte: divulgation par la CISA d’un incident touchant une agence fédérale civile non nommée.
- 🔓 Vecteur: exploitation d’un GeoServer non corrigé.
- 🗺️ Produit concerné: GeoServer.
- 🕒 Chronologie: l’an dernier (date précise non fournie dans l’extrait).
TTPs observés:
- Exploitation d’un service applicatif exposé (GeoServer) laissé non corrigé.
Cet article est une couverture de presse spécialisée rapportant une divulgation d’incident par la CISA, visant à informer sur le vecteur d’intrusion et la nature de la compromission.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/cisa-says-hackers-breached-federal-agency-using-geoserver-exploit/