CVE-2024-36401 (CVSS 9.8): Critical GeoServer Flaw Under Active Attack, PoC Available
2024/07/15 SecurityOnline — 7月15日に米国の CISA (Cybersecurity and Infrastructure Security Agency) は、地理空間データ用のオープンソース・ソフトウェア・サーバとして人気の OSGeo GeoServer GeoTools に存在する、脆弱性 CVE-2024-36401 を KEV カタログに追加した。この脆弱性は、脅威アクターたちにより積極的に悪用されており、GeoServerを使用している組織にとって、早急なパッチ適用が最優先事項となっている。
CVE-2024-36401 の深刻度は CVSS 9.8 と高く、悪用に成功した認証されていない攻撃者は、影響を受けるシステム上でリモートからの任意のコード実行が可能になる。この脆弱性は、GeoServer が地理空間データ内のプロパティ名を評価する際の、不注意な方式に起因しており、悪意の入力がコード実行の引き金となる。
驚くべきは、設定に関わらず、全ての GeoServer インスタンスが、この欠陥に対して脆弱であるという点だ。つまり、地理空間データの共有や編集に GeoServer を利用している全ての組織は、不正アクセスや潜在的な侵害の危険にさらされていることになる。
この脆弱性 CVE-2024-36401 に対して、すでに PoC エクスプロイト・コードがオンラインで公開されているため、緊急性が高まっている。つまり、さまざまな技術レベルの攻撃者が、この脆弱性の悪用を試行する可能性があり、広範な攻撃が行われる可能性が生じていると捉えるべきだ。
CISA が GeoServer のユーザーに強く推奨しているのは、CVE-2024-36401 に対する修正が含まれたバージョン2.24.4/2.25.2/2.23.6 への更新である。すぐにパッチを適用するこいとが難しい場合には、GeoServer のインストールから “gt-complex-x.y.jar” ファイルを削除することで、一時的に脆弱性を緩和することが可能だ。ただし、この場合には、一部の複合機能が停止する可能性があるため、注意が必要となる。
なお、米国連邦政府機関は、CISA による義務化にしたがい、2024年8月5日までにパッチを適用する必要がある。
GeoServer の脆弱性 CVE-2024-36401 が、CISA KEV に登録されました。この脆弱性に関する第一報は、2024/07/02 の「GeoServer の脆弱性 CVE-2024-36401 (CVSS 9.8) が FIX:RCE の恐れ」となっています。そこから、半月も経たないうちに、連邦政府内での脆弱性悪用が確認されたことになります。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.