在資安世界中,漏洞未及時修補往往會釀成嚴重後果。此篇文章揭露了一起發生於美國聯邦政府單位的重大攻擊事故:GeoServer的嚴重漏洞 CVE-2024-36401(CVSS 風險值 9.8)在公開後短短數週內,即被駭客利用成功入侵某大型聯邦文職行政部門(FCEB),並在其網路環境中潛伏長達三週,直到事件被偵測出來。
這起漏洞最早於 2024 年 6 月底由OSGeo在GeoServer 2.25.2版修補,然而到了隔月,美國CISA(網路安全暨基礎設施安全局)便將其列入「已遭利用漏洞名冊」(KEV),顯示攻擊者已經積極行動。如今一年後,CISA 公布詳細事故調查,證實漏洞在短時間內就被駭客鎖定並成功攻陷政府機關。
文章說明,CISA 認為受害組織釀禍的原因有三:
- 漏洞未及時修復 —— 即便修補已釋出,組織卻遲遲未更新。
- 事故應變計畫(IRP)未測試或執行 —— 缺乏演練,導致反應遲緩。
- 忽略 EDR 警示訊息 —— 未持續檢視資安監控工具提供的警訊。
根據報告,攻擊鏈始於2024 年 7 月 11 日,駭客透過Burp Scanner這類動態應用程式安全測試(DAST)工具,掃描並確認受害單位的 GeoServer 存在漏洞,隨即滲透並建立初始管道。隨後,他們利用公開可得的工具與指令碼,逐步橫向移動至網頁伺服器與SQL Server 主機。
在過程中,駭客試圖植入中國菜刀(China Chopper)Web Shell及其他後門,並透過遠端指令、權限提升與持久化存取來維持控制。更令人憂慮的是,他們還運用了LOTL(Living off the Land)寄生攻擊手法隱匿行蹤,使其活動更難被偵測。
作者進一步揭示,駭客甚至透過雲端基礎設施供應商的 VPS(虛擬私人伺服器),作為跳板遠端連線受害環境;為了提升權限,他們還疑似使用過去著名的 Dirtycow(CVE-2016-5195)漏洞工具,嘗試攻陷網頁服務帳號並進一步取得本機管理權限。雖然其完整手法未能完全釐清,但足見攻擊的複雜性與多層次操作。
整起攻擊行動持續到 2024 年 7 月 31 日才被發現。受害機關的 SOC(資安維運中心)終於透過EDR工具在 SQL Server 上偵測到疑似惡意檔案,並尋求 CISA 協助。經過調查,才確認整個入侵鏈路始於 GeoServer 漏洞,CISA 最終將全案細節公開。
本文最後強調,CISA 再次呼籲各機構必須:
- 優先修補曝露於網際網路的系統,尤其是已遭利用與高風險漏洞。
- 定期演練與檢討事故應變計畫,確保資安團隊能即時反應。
- 集中化並詳細保存事件紀錄,以利未來追蹤與取證。
這起案例清楚警示企業與政府單位:單純等待更新或仰賴工具提示是不夠的,唯有即時修補、積極演練與細緻監控,才能降低零時差攻擊的衝擊。
