GeoServer logo

CISAは、CVE-2024-36401として追跡されているGeoServer GeoToolsの重大なリモートコード実行の欠陥が攻撃で活発に悪用されていることを警告している。

GeoServer は、ユーザーが地理空間データを共有、処理、変更できるようにするオープンソースのサーバーである。

6月30日、GeoServerはそのGeoToolsプラグインに、プロパティ名をXPath式として安全に評価しないことに起因する、9.8重大度のリモートコード実行の脆弱性を公表した。

「GeoServerが呼び出すGeoToolsライブラリAPIは、XPath式を評価する際に任意のコードを実行する可能性のあるcommons-jxpathライブラリに安全でない方法でそれらを渡すフィーチャタイプのプロパティ/属性名を評価します。

“このXPath評価は、複雑な特徴タイプ(すなわち、Application Schemaデータストア)でのみ使用されることを意図しているが、単純な特徴タイプにも誤って適用されているため、この脆弱性はすべてのGeoServerインスタンスに適用される。”

当時、この脆弱性は積極的に悪用されてはいなかったが、研究者たちは、公開されたサーバ上でリモートコード実行を実行し、リバースシェルを開いたり、アウトバウンド接続を行ったり、/tmpフォルダにファイルを作成したりする方法を示す概念実証のエクスプロイト[123]をすぐに公開した。

POC tweet

プロジェクトのメンテナーは、GeoServer のバージョン 2.23.6、2.24.4、2.25.2 でこの欠陥を修正し、すべてのユーザにこれらのリリースにアップグレードすることを推奨しました。

また、開発者は回避策も提供していますが、GeoServer の機能の一部を壊す可能性があることを警告しています。

攻撃に使用される CVE-2024-36401

昨日、米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局は、CVE-2024-36401を既知の脆弱性カタログに追加し、この欠陥が攻撃で積極的に悪用されていると警告した。CISAは現在、連邦政府機関に対し、2024年8月5日までにサーバーにパッチを当てるよう求めている。

CISAはこの欠陥がどのように悪用されているかについての情報を提供していないが、脅威監視サービスShadowserverは、CVE-2024-36401が7月9日から活発に悪用されているのを観測したと述べている。

ShadowServer toot on Mastodon

OSINT検索エンジンの ZoomEyeによると、約16,462台のGeoServerサーバーがオンラインで公開されており、そのほとんどが米国、中国、ルーマニア、ドイツ、フランスにあるという。

同機関のKEVカタログは主に連邦政府機関を対象としているが、民間組織のGeoServerも攻撃を防ぐためにこの脆弱性に優先的にパッチを当てるべきである。

まだパッチを当てていない人は、直ちに最新バージョンにアップグレードし、侵害の可能性がないか、システムとログを徹底的に見直すべきである。