CVE-2024-36401: как одна уязвимость позволила взломать 7100+ серверов

Киберпреступники нашли способ извлекать выгоду из уязвимости CVE-2024-36401 в популярной геопространственной платформе GeoServer., которая позволяет удалённо выполнять произвольный код. С начала марта 2025 года злоумышленники активно атакуют публично доступные серверы GeoServer и используют их мощности для скрытой монетизации сетевых ресурсов. Вместо распространения классического вредоносного ПО они внедряют легитимные приложения и SDK, которые маскируются под инструменты для получения пассивного дохода за счёт расшаривания интернет-канала или работы в составе «резидентских прокси».

Подобная схема выглядит как обычная бизнес-модель: разработчики программного обеспечения иногда интегрируют SDK для монетизации без рекламы, что делает такие механизмы привычными и менее заметными для пользователей. В случае кампании злоумышленников приложения действуют почти бесшумно, расходуют минимум ресурсов, но тайно перенаправляют часть пропускной способности сервера. Это снижает риск обнаружения и позволяет атакующим получать доход от скомпрометированных систем на протяжении длительного времени.

По данным Cortex Xpanse, в начале мая 2025 года в интернете насчитывалось 3706 открытых инстансов GeoServer, а всего в марте–апреле — более 7100 в 99 странах, включая Китай, США, Германию, Великобританию и Сингапур. Такой масштаб делает атаку особенно опасной.

Первые зафиксированные попытки эксплуатации уязвимости датируются 8 марта., но уже к концу марта инфраструктура противников начала меняться. После того как на VirusTotal изначальный IP-адрес отметили как источник угроз, злоумышленники переключились на новый сервер, а распространение приложений свернули, сосредоточившись на SDK. В середине апреля кампания расширилась: к атакующим узлам добавился новый хост, при этом первоначальный сервер оставался активным ещё несколько месяцев. В настоящее время атаки продолжаются, а инфраструктура злоумышленников функционирует параллельно с несколькими площадками распространения.

Суть эксплойта связана с библиотекой JXPath из Apache Commons. Она расширяет возможности XPath-запросов, позволяя обращаться не только к XML, но и к объектам Java. Гибкость оборачивается угрозой: если злоумышленник контролирует выражение, он может вызвать методы наподобие getRuntime().exec() и исполнить произвольные команды. В уязвимом GeoServer такие запросы проходят через цепочку методов GetPropertyValue → evaluate → PropertyAccessor → iteratePointers, где нагрузка преобразуется в вызов Runtime.exec(). В результате сервер выполняет команду атакующего — например, загрузку второго этапа из внешнего источника.

Дальнейший анализ показал, что злоумышленники применяли серверы file-sharing-сервиса transfer.sh, развёрнутые на собственных IP-адресах. С их помощью распространялись дополнительные скрипты, создававшие скрытые директории и запускавшие основной бинарник с переданным ключом. Исполняемый файл работал в фоне и незаметно занимался арендой сетевых ресурсов жертвы. В отличие от классических криптомайнеров нагрузка была минимальной, что обеспечивало длительное присутствие в системе без вызова подозрений.

Особое внимание исследователей привлек выбор языка Dart. Злоумышленники использовали его кроссплатформенные возможности, чтобы собирать исполняемые файлы под Linux, и одновременно интегрировали SDK. Такое взаимодействие обеспечило генерацию и сбор пассивных источников дохода для злоумышленника. Проверка подтвердила, что бинарный SDK идентичен оригинальному продукту с сайта разработчика, что затрудняет его выявление средствами защиты.

Фактически речь идёт о новой волне атак, где ключевая цель не разрушение инфраструктуры, а незаметное и долговременное извлечение прибыли. Сервера превращаются в прокси-узлы или посредников для сервисов трафика, а владельцы систем оказываются в роли невольных спонсоров. Чтобы снизить риски, администраторы должны срочно обновить GeoServer и закрыть уязвимость CVE-2024-36401 , иначе скомпрометированные машины продолжат работать на чужой доход.