美國網路安全與基礎設施安全局（CISA）於9月23日發布警報，揭露不明威脅行為者於2024年7月11日，利用GeoServer開放源碼地圖伺服器的關鍵漏洞CVE-2024-36401（CVSS 9.8），入侵一大型聯邦民用行政部門（FCEB）機構的網路，潛伏三週後才被端點偵測與回應（EDR）工具察覺。攻擊者透過遠端程式碼執行（RCE）漏洞存取公共GeoServer實例，側向移動至第二GeoServer、Web伺服器及SQL伺服器，部署中國砍刀（China Chopper）Web殼及Stowaway代理工具，竊取帳戶密碼並嘗試權限提升。CISA強調，此事件暴露機構漏洞管理及事件回應計劃（IRP）缺失，呼籲立即修補並測試IRP。台灣政府及企業廣泛使用GeoServer於地理資料處理，資安單位警告，需優先修補並強化EDR監控，防範類似供應鏈攻擊。

 

 

CISA警報指出，事件於2024年7月31日由FCEB機構的EDR工具觸發警報，標記SQL伺服器上的可疑惡意軟體檔案，促使CISA展開事件回應。然而，機構的回應手冊不完善，無法及時授予CISA遠端存取SIEM系統，阻礙調查並讓攻擊者深入網路。CISA發現，攻擊始於7月11日，威脅行為者利用CVE-2024-36401入侵公共GeoServer（GeoServer 1），該漏洞於6月30日公開披露，僅11天後即被利用。攻擊者使用Burp Suite掃描工具偵測漏洞，透過XPath注入惡意指令，實現未經授權RCE。 隨後，他們下載開源腳本及工具，結合活在土地上（Living-off-the-Land, LOTL）技巧，側向移動網路。

 

 

7月24日，攻擊者重複利用同一漏洞入侵第二GeoServer（GeoServer 2），並從GeoServer 1轉移至Web及SQL伺服器，部署中國砍刀Web殼—一種小型PHP後門，用於遠端存取及命令執行，常見於中國相關威脅團體的ProxyLogon攻擊。攻擊者透過暴力破解取得帳戶密碼，嘗試利用Linux Dirty Cow漏洞（CVE-2016-5195）權限提升，並使用Stowaway網路代理工具傳輸命令與控制（C2）流量。CISA表示，攻擊持續三週未被偵測，機構錯失7月15日EDR警報機會，當時GeoServer 1偵測到Stowaway，但未審核。 公共Web伺服器更缺乏端點保護，放大風險。

 

 

GeoServer為開放地理空間聯盟（OGC）成員使用的地圖伺服器，用於彙整多源地理資料，應用於氣象追蹤、地理調查、環境與航太軍事連結。CVE-2024-36401源於GeoTools API不當處理XPath表達式，允許攻擊者注入惡意指令執行任意程式碼。CISA於7月15日將其加入已知利用漏洞（KEV）目錄，要求聯邦機構21天內修補，但FCEB機構7月24日入侵發生於KEV修補期限內，顯示延遲修補的嚴重後果。CISA發言人告訴Dark Reading：「CISA不公開揭露決定KEV漏洞的具體利用活動。」

 

 

此漏洞迅速成熱門目標。Fortinet 2024年9月報告顯示，KEV加入後，多起活動利用CVE-2024-36401，包括機器人網路及加密貨幣礦工。Trend Micro同月研究將其連結至中國間諜團體Earth Baxia，觀察其入侵台灣政府機構、菲律賓及日本軍事網路。CISA未歸因FCEB攻擊，但強調GeoServer預設安裝易受攻擊，呼籲升級至2.23.6、2.24.4或2.25.2版本。 Shadowserver於7月9日觀察攻擊，ZoomEye追蹤逾16,000個公開GeoServer伺服器。

 

 

CISA警報分享FCEB機構資安缺失及教訓。首先，機構未及時修補KEV漏洞，導致第二GeoServer入侵。其次，IRP未經測試，無法及時整合第三方資源，阻礙CISA調查。第三，EDR警報未持續審核，公共資源缺乏端點保護。CISA建議：建立漏洞管理計劃，優先修補KEV漏洞；維護、更新及測試IRP；實施全面日誌記錄及監控。SOC Prime分析，此事件為典型案例：未修補公共服務、未測試IRP及忽略EDR警報，導致RCE入侵及後續惡意活動。 Windows Forum強調，CVE-2024-36401為評估注入漏洞，GeoServer預設配置易受影響，呼籲立即修補及紅隊測試。

 

 

台灣資安專家分析，此事件對本土影響深遠。GeoServer廣泛用於台灣氣象、國土測繪及軍事地理應用，政府及企業易成目標。行政院國家資通安全會報表示，將監測CVE-2024-36401相關威脅，呼籲用戶檢查公開GeoServer實例，立即修補並測試IRP。趨勢科技台灣區總經理洪偉淦受訪時指出：「攻擊者利用Burp Suite掃描及LOTL技巧，凸顯邊緣裝置風險。台灣機構應部署WAF過濾XPath注入，強化EDR警報審核，並實施零信任分段。」他建議，定期漏洞掃描、整合SIEM監控Web日誌，並與國際共享IOC，防範Earth Baxia等中國團體的間諜活動。

 

 

此事件與近期資安趨勢呼應，如SonicWall雲端備份入侵暴露防火牆配置、微軟Entra ID漏洞威脅全球租戶，顯示未修補漏洞及IRP缺失成常見弱點。CISA警報提醒，聯邦機構資安不彰，呼籲公私部門優先KEV修補。台灣政府可借鏡，強化關鍵基礎設施漏洞管理，強制測試IRP。用戶防範之道包括：檢查GeoServer版本、啟用端點保護、監控Burp Suite流量。隨著地理資料應用擴張，此類RCE漏洞料將頻發，企業需平衡便利與安全，確保數位防線。

 

出處：Dark Reading  

作者：Rob Wright