Een federale Amerikaanse overheidsinstantie is vorig jaar gehackt omdat het had nagelaten een beveiligingsupdate voor een kritieke kwetsbaarheid in GeoServer te installeren. De patch was drie weken eerder al uitgebracht, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security in een uitgebreide analyse van het incident. GeoServer is een opensourceserver waarmee gebruikers geografische gegevens kunnen delen, bewerken en publiceren.

GeoServer ging niet goed om met gebruikersinvoer, waardoor het mogelijk was voor ongeauthenticeerde gebruikers om willekeurige code op de server uit te voeren. De impact van de kwetsbaarheid, aangeduid als CVE-2024-36401, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. GeoServer kwam op 18 juni vorig jaar met een beveiligingsupdate voor het probleem, gevolgd door een aparte waarschuwing voor CVE-2024-36401 op 1 juli. Op 11 juli wisten aanvallers via het GeoServer-lek bij een niet nader genoemde Amerikaanse overheidsinstantie in te breken, aldus het CISA.

Via dezelfde kwetsbaarheid wisten de aanvallers twee weken later ook een tweede GeoServer van de overheidsinstantie te compromitteren. Vanaf de gecompromitteerde GeoServer werden vervolgens een webserver en SQL-server gecompromitteerd. Op elke server probeerden de aanvallers een webshell te uploaden, alsmede scripts voor remote toegang, het uitvoeren van commando's en verhogen van rechten.

Zodra de aanvallers toegang tot het netwerk van de organisatie hadden gebruikten ze voornamelijk bruteforce-technieken om wachtwoorden te stelen waarmee ze zich lateraal konden bewegen, zo laat het CISA verder in de analyse van de aanval weten. Op 15 juli waarschuwde het CISA dat aanvallers actief misbruik van het GeoServer-lek maakten. Het CISA kan Amerikaanse overheidsinstanties opdragen om updates voor actief aangevallen kwetsbaarheden binnen een bepaalde tijd te installeren.

In het geval van het GeoServer-lek werden federale Amerikaanse overheidsinstanties door het CISA veprlicht om de update voor 5 augustus 2024 te installeren. De tweede GeoServer bij de aangevallen overheidsinstantie werd op 24 juli gehackt. Volgens het CISA is het belangrijk dat overheidsinstanties kwetsbaarheden waarvoor het waarschuwt meteen patchen.

Verder bleek dat de getroffen organisatie niet met het eigen incident response plan (IRP) had geoefend en werden waarschuwingen van de endpoint detection and response (EDR) tool niet altijd bekeken. De EDR-tool had op 15 juli al een waarschuwing voor de aanwezigheid van een proxytool op de GeoServer gegeven, maar die werd niet gezien. Ook bleek dat de webserver niet van endpoint-beveiliging was voorzien. In de analyse doet het CISA ook verschillende aanbevelingen waarmee organisaties hun beveiliging kunnen aanscherpen.