CISA avertizează că o vulnerabilitate critică de execuție de cod la distanță a Geoserver GeoTools, urmărită ca CVE-2024-36401, este exploatată activ în atacuri.
GeoServer este un server open-source care permite utilizatorilor să partajeze, proceseze și modifice date geospațiale.
Pe 30 iunie, GeoServer a dezvăluit o vulnerabilitate critică de execuție de cod la distanță cu o gravitate de 9.8 în pluginul său GeoTools, cauzată de evaluarea nesigură a numelor de proprietăți ca expresii XPath.
„API-ul bibliotecii GeoTools pe care GeoServer o apelează evaluează numele de proprietate/atribut pentru tipurile de obiecte într-un mod care le trece nesigur la biblioteca commons-jxpath care poate executa cod arbitrar atunci când evaluează expresii XPath,” se arată în avertismentul GeoServer.
„Această evaluare XPath este destinată să fie utilizată doar de tipurile de obiecte complexe (adică stocările de date ale schemei aplicației) dar este aplicată incorect și tipurilor de obiecte simple, ceea ce face ca această vulnerabilitate să se aplice la TOATE instanțele GeoServer.”
Deși vulnerabilitatea nu era exploatată activ la momentul respectiv, cercetătorii au eliberat rapid exploatații de concept [1, 2, 3] care au demonstrat cum să realizeze execuție de cod la distanță pe servere expuse și să deschidă shell-uri inverse, să facă conexiuni externe sau să creeze un fișier în folderul /tmp.
Maintainerii proiectului au remediat vulnerabilitatea în versiunile GeoServer 2.23.6, 2.24.4 și 2.25.2 și au recomandat ca toți utilizatorii să facă upgrade la aceste versiuni.
Dezvoltatorii oferă și soluții alternative dar avertizează că acestea ar putea afecta funcționalitatea unor aspecte GeoServer.
Ieri, Agenția de Securitate Cibernetică și Infrastructură (CISA) a adăugat CVE-2024-36401 în Catalogul său de Vulnerabilități Exploatate Cunoscute, avertizând că vulnerabilitatea este exploatată activ în atacuri. CISA solicită acum agențiilor federale să remedieze serverele până pe 5 august 2024.
Deși CISA nu a furnizat informații despre modul în care vulnerabilitățile erau exploatate, serviciul de monitorizare a amenințărilor Shadowserver a declarat că au observat CVE-2024-36401 fiind exploatată activ începând cu 9 iulie.
Motorul de căutare OSINT ZoomEye spune că aproximativ 16.462 de servere GeoServer sunt expuse online, majoritatea fiind în SUA, China, România, Germania și Franța.
Deși catalogul KEV al agenției se adresează în principal agențiilor federale, organizațiile private care utilizează GeoServer ar trebui, de asemenea, să prioritizeze remedierea acestei vulnerabilități pentru a preveni atacurile.
Cei care încă nu au remediat ar trebui să facă imediat upgrade la cea mai recentă versiune și să revizuiască în detaliu sistemul și jurnalele lor pentru posibile compromiteri.
Bug-ul de execuție de cod la distanță în biblioteca larg utilizată Ghostscript este acum exploatat în atacuri
CISA avertizează cu privire la vulnerabilitatea de elevare a privilegiilor Linux exploatată activ
CISA avertizează cu privire la hackerii care exploatează bug-urile Chrome, D-Link EoL
CISA îndeamnă dezvoltatorii să elimine vulnerabilitățile de injecție a comenzilor OS
CISA îndeamnă dezvoltatorii de software să elimine vulnerabilitățile de injecție SQL
Leave a Reply