GeoServer là một máy chủ bản đồ (map server) mã nguồn mở, được viết bằng ngôn ngữ lập trình Java, dùng để chia sẻ, xử lý và chỉnh sửa dữ liệu không gian địa lý (geospatial data) trên web bằng cách tuân thủ các chuẩn quốc tế như Web Map Service (WMS) và Web Feature Service (WFS) do Open Geospatial Consortium (OGC) định nghĩa.

Lỗi bảo mật (được theo dõi là CVE-2024-36401) là một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng đã được vá vào ngày 18/6/2024. CISA đã thêm lỗ hổng này vào danh mục các lỗ hổng đang bị khai thác tích cực khoảng một tháng sau đó, sau khi nhiều nhà nghiên cứu bảo mật chia sẻ các bằng chứng khai thác trực tuyến [1, 2, 3], trình bày cách thực thi mã trên các máy chủ bị lộ.

Mặc dù cơ quan an ninh mạng không cung cấp bất kỳ chi tiết nào về cách các lỗ hổng bị khai thác trong thực tế, dịch vụ giám sát mối đe dọa Shadowserver đã quan sát thấy các cuộc tấn công CVE-2024-36401 bắt đầu từ ngày 09/7/2024, trong khi công cụ tìm kiếm OSINT ZoomEye đã theo dõi hơn 16.000 máy chủ GeoServer bị lộ trực tuyến.

Hai ngày sau khi các cuộc tấn công đầu tiên bị phát hiện, các tác nhân đe dọa đã truy cập được vào máy chủ GeoServer của một cơ quan liên bang Hoa Kỳ và xâm nhập một máy chủ khác khoảng hai tuần sau đó. Giai đoạn tiếp theo của cuộc tấn công, chúng di chuyển ngang qua mạng lưới của cơ quan, xâm nhập một máy chủ web và một máy chủ SQL.

"Trên mỗi máy chủ, chúng đã tải lên (hoặc cố gắng tải lên) các web shell như China Chopper, cùng với các tập lệnh được thiết kế để truy cập từ xa, duy trì, thực thi lệnh và leo thang đặc quyền", CISA cho biết trong một khuyến cáo hôm thứ Ba vừa qua.

"Một khi đã xâm nhập vào mạng lưới của tổ chức, các tác nhân đe dọa mạng chủ yếu sử dụng các kỹ thuật tấn công vét cạn [T1110] để lấy mật khẩu cho việc di chuyển ngang và leo thang đặc quyền. Chúng cũng truy cập vào các tài khoản dịch vụ bằng cách khai thác các dịch vụ liên quan".

Các tác nhân đe dọa vẫn không bị phát hiện trong ba tuần cho đến khi công cụ Phát hiện và Phản hồi Điểm cuối (EDR) của cơ quan liên bang cảnh báo Trung tâm Điều hành An ninh (SOC) về vụ vi phạm, đánh dấu một tệp là phần mềm độc hại đáng ngờ trên máy chủ SQL vào ngày 31/7/2024.

Sau khi hoạt động độc hại của kẻ tấn công kích hoạt thêm các cảnh báo EDR, nhóm thuộc Trung tâm điều hành thông minh (SOC) đã cô lập máy chủ và tiến hành điều tra với sự hỗ trợ của CISA.

CISA hiện đang kêu gọi các đơn vị bảo vệ mạng khẩn trương vá các lỗ hổng nghiêm trọng (đặc biệt là các lỗ hổng được thêm vào danh mục Lỗ hổng Đã khai thác và Đã biết), đảm bảo các trung tâm điều hành an ninh liên tục theo dõi các cảnh báo EDR về hoạt động mạng đáng ngờ và tăng cường các kế hoạch ứng phó sự cố.

Vào tháng 7 năm nay, cơ quan an ninh mạng Hoa Kỳ đã ban hành một khuyến cáo khác sau một cuộc truy tìm chủ động tại một tổ chức cơ sở hạ tầng quan trọng của Hoa Kỳ. Mặc dù không tìm thấy bằng chứng về hoạt động độc hại trên mạng của mình, nhưng công ty đã phát hiện ra nhiều rủi ro an ninh mạng, bao gồm nhưng không giới hạn ở thông tin đăng nhập được lưu trữ không an toàn, thông tin đăng nhập quản trị cục bộ được chia sẻ trên nhiều máy trạm, quyền truy cập từ xa không hạn chế cho tài khoản quản trị viên cục bộ, ghi nhật ký không đủ và các vấn đề về cấu hình phân đoạn mạng.

Hà Linh