Conexões sequestradas como cibercriminosos lucram com sua banda
Cibercriminosos estão explorando uma vulnerabilidade crítica em bancos de dados GeoServer para sequestrar máquinas de vítimas e monetizar sua largura de banda. Desde março de 2025, essa operação sofisticada utiliza a vulnerabilidade CVE-2024-36401, que permite a execução remota de código, com um CVSS de 9.8, destacando sua gravidade. Os atacantes injetam comandos através de consultas JXPath, permitindo a execução de código arbitrário. A análise revelou mais de 7.000 instâncias de GeoServer expostas publicamente em 99 países, com a maioria localizada na China. O objetivo principal da campanha é implantar kits de desenvolvimento de software (SDKs) legítimos e aplicativos modificados que compartilham os recursos de rede das vítimas por meio de proxies residenciais, gerando renda passiva. A operação é realizada em três fases, com os atacantes mudando rapidamente de infraestrutura após serem detectados. Para mitigar esses riscos, as organizações devem corrigir imediatamente as instâncias do GeoServer e implementar monitoramento de rede para conexões suspeitas.