Успеют ли администраторы закрыть брешь в GeoServer?
Агентство CISA предупреждает, что критическая уязвимость в GeoServer GeoTools активно используется в атаках.
GeoServer – это сервер с открытым исходным кодом, позволяющий пользователям обмениваться, обрабатывать и изменять геопространственные данные. 30 июня разработчики GeoServer Для просмотра ссылки Войдиили Зарегистрируйся о критической RCE -уязвимости Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 9.8) в плагине GeoTools. Проблема заключается в небезопасной оценке имен свойств как выражений XPath .
Специалисты проекта объясняют, что API-библиотека GeoTools, которую вызывает GeoServer, оценивает имена свойств и атрибутов для типов объектов так, что они небезопасно передаются в библиотеку commons-jxpath. Это может привести к выполнению произвольного кода при оценке выражений XPath. При этом уязвимость применяется ко всем экземплярам GeoServer.
На момент обнаружения ошибка не использовалась активно, однако исследователи быстро опубликовали доказательства концепции ( PoC ) [ Для просмотра ссылки Войдиили Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся ], демонстрирующие, как можно выполнить удаленный код на уязвимых серверах, открыть реверс-шелл (Reverse Shell), установить исходящие соединения или создать файл в каталоге «/tmp».
Разработчики GeoServer оперативно Для просмотра ссылки Войдиили Зарегистрируйся для версий 2.23.6, 2.24.4 и 2.25.2, настоятельно рекомендуют всем пользователям обновить свои системы. Специалисты также предложили обходные пути для тех, кто не может немедленно обновиться, однако предупредили, что они могут нарушить работу некоторых функций GeoServer.
Кроме того,16 июля CISA добавила уязвимость Для просмотра ссылки Войдиили Зарегистрируйся в свой каталог KEV с отметкой о том, что недостаток уже используется в атаках. CISA требует от федеральных агентств установить исправления до 5 августа 2024 года.
Хотя CISA не предоставила информацию о методах эксплуатации уязвимости, служба мониторинга угроз Shadowserver Для просмотра ссылки Войдиили Зарегистрируйся что активное использование CVE-2024-36401 началось с 9 июля. По Для просмотра ссылки Войди или Зарегистрируйся OSINT ZoomEye, около 16 400 серверов GeoServer доступны в Интернете, большинство из которых расположены в США, Китае, Румынии, Германии и Франции.
Несмотря на то, что каталог KEV агентства ориентирован в первую очередь на федеральные учреждения, частные организации также должны немедленно установить исправления для защиты своих систем. Те, кто еще не обновил свои серверы, должны срочно перейти на последнюю версию GeoServer и тщательно проверить свои системы и журналы на наличие признаков компрометации.
Агентство CISA предупреждает, что критическая уязвимость в GeoServer GeoTools активно используется в атаках.
GeoServer – это сервер с открытым исходным кодом, позволяющий пользователям обмениваться, обрабатывать и изменять геопространственные данные. 30 июня разработчики GeoServer Для просмотра ссылки Войди
Специалисты проекта объясняют, что API-библиотека GeoTools, которую вызывает GeoServer, оценивает имена свойств и атрибутов для типов объектов так, что они небезопасно передаются в библиотеку commons-jxpath. Это может привести к выполнению произвольного кода при оценке выражений XPath. При этом уязвимость применяется ко всем экземплярам GeoServer.
На момент обнаружения ошибка не использовалась активно, однако исследователи быстро опубликовали доказательства концепции ( PoC ) [ Для просмотра ссылки Войди
Разработчики GeoServer оперативно Для просмотра ссылки Войди
Кроме того,16 июля CISA добавила уязвимость Для просмотра ссылки Войди
Хотя CISA не предоставила информацию о методах эксплуатации уязвимости, служба мониторинга угроз Shadowserver Для просмотра ссылки Войди
Несмотря на то, что каталог KEV агентства ориентирован в первую очередь на федеральные учреждения, частные организации также должны немедленно установить исправления для защиты своих систем. Те, кто еще не обновил свои серверы, должны срочно перейти на последнюю версию GeoServer и тщательно проверить свои системы и журналы на наличие признаков компрометации.
- Источник новости
- www.securitylab.ru