16 400 причин для исправлений: GeoServer в эпицентре кибератак

Агентство CISA предупреждает, что критическая уязвимость в GeoServer GeoTools активно используется в атаках.

GeoServer – это сервер с открытым исходным кодом, позволяющий пользователям обмениваться, обрабатывать и изменять геопространственные данные. 30 июня разработчики GeoServer раскрыли информацию о критической RCE -уязвимости CVE-2024-36401 (оценка CVSS: 9.8) в плагине GeoTools. Проблема заключается в небезопасной оценке имен свойств как выражений XPath .

Специалисты проекта объясняют, что API-библиотека GeoTools, которую вызывает GeoServer, оценивает имена свойств и атрибутов для типов объектов так, что они небезопасно передаются в библиотеку commons-jxpath. Это может привести к выполнению произвольного кода при оценке выражений XPath. При этом уязвимость применяется ко всем экземплярам GeoServer.

На момент обнаружения ошибка не использовалась активно, однако исследователи быстро опубликовали доказательства концепции ( PoC ) [ 1 , 2 , 3 ], демонстрирующие, как можно выполнить удаленный код на уязвимых серверах, открыть реверс-шелл (Reverse Shell), установить исходящие соединения или создать файл в каталоге «/tmp».

Разработчики GeoServer оперативно выпустили исправления для версий 2.23.6, 2.24.4 и 2.25.2, настоятельно рекомендуют всем пользователям обновить свои системы. Специалисты также предложили обходные пути для тех, кто не может немедленно обновиться, однако предупредили, что они могут нарушить работу некоторых функций GeoServer.

Кроме того,16 июля CISA добавила уязвимость CVE-2024-36401 в свой каталог KEV с отметкой о том, что недостаток уже используется в атаках. CISA требует от федеральных агентств установить исправления до 5 августа 2024 года.

Хотя CISA не предоставила информацию о методах эксплуатации уязвимости, служба мониторинга угроз Shadowserver сообщила, что активное использование CVE-2024-36401 началось с 9 июля. По данным OSINT ZoomEye, около 16 400 серверов GeoServer доступны в Интернете, большинство из которых расположены в США, Китае, Румынии, Германии и Франции.

Несмотря на то, что каталог KEV агентства ориентирован в первую очередь на федеральные учреждения, частные организации также должны немедленно установить исправления для защиты своих систем. Те, кто еще не обновил свои серверы, должны срочно перейти на последнюю версию GeoServer и тщательно проверить свои системы и журналы на наличие признаков компрометации.