24.09.2025
1 хв
570
Агенція з кібербезпеки та інфраструктурної безпеки США (**CISA**) повідомила про атаку на федеральне цивільне агентство, де зловмисники скористалися вразливістю CVE-2024-36401 у GeoServer, отримавши повний доступ до мережі та залишаючись непоміченими три тижні.
Інцидент розпочався 11 липня 2024 року, коли хакери використали eval injection у публічно доступному GeoServer. Попри те, що вразливість була опублікована ще 30 червня й потрапила до каталогу KEV 15 липня, організація не встигла виправити систему вчасно.
Зловмисники провели розвідку за допомогою Burp Suite та інших інструментів, після чого встановили China Chopper web shell, проксі Stowaway і використали техніку «living off the land» із PowerShell і bitsadmin. Вони просунулися від GeoServer до вебсервера, а згодом і до SQL-сервера, де запускали команди для збору даних і керування системою.
Лише 31 липня EDR-система зафіксувала підозрілий файл, хоча ще 15 липня вже був сигнал про Stowaway, який залишився без уваги. Додатково, на вебсервері взагалі не було захисту, що значно спростило атаку.
Уразливість CVE-2024-36401 (CVSS 9.8) стосується всіх версій Apache GeoServer 2.x до 2.26.5. Вона дозволяє виконання коду без автентифікації.
CISA підкреслила три головні уроки:
відсутність оперативного патчингу навіть після внесення в KEV;
неефективний інцидент-респонс без залучення зовнішніх експертів;
недостатній моніторинг EDR та відсутність захисту на ключових вузлах.
Атака показала, що навіть федеральні установи можуть мати критичні прогалини у кіберзахисті.
Цей інцидент демонструє небезпечність відкладеного патчингу та слабкого реагування на інциденти. Навіть критичні попередження у KEV залишаються без дій, якщо процеси не налагоджені. CISA наголошує: організації повинні оперативно виправляти відомі уразливості, використовувати захист на всіх вузлах і переглядати EDR-оповіщення, щоб не допустити повторення подібних атак.
