Critical GeoServer RCE Flaw CVE-2024-36401 Actively Exploited, 6,284 Instances Vulnerable
2024/07/30 SecurityOnline — GeoServer の、インターネットに公開されている 6,284 の インスタンスが、リモート・コード実行攻撃に対して脆弱であることを、セキュリティ脅威監視プラットフォーム Shadowserver が明らかにした。この脆弱性 CVE-2024-36401 は、6月30日に公開された以降において、脅威アクターたちにより、活発に悪用されていることが確認されている。
この脆弱性は GeoTools プラグインに存在し、プロパティ名が XPath 式としてセキュアに評価されないところに起因している。そのため、悪用に成功した未認証の攻撃者は、標的とするサーバ上で任意のコード実行が可能になる。すでに、この脆弱性に対する PoC エクスプロイト・コードが公開されており、攻撃者がリバース・シェルを開き、ファイルを作成し、機密データを流出させる手順が示されている。
世界中で膨大な数の GeoServer インスタンスが露出していることを、Shadowserver は確認している。組織にとっての急務は、システムを評価し、必要性に応じた修復策を早急に講じることである。
また、米国の CISA は、この RCE の脆弱性 CVE-2024-36401 を KEV カタログに登録し、野放し状態で活発に悪用されていると警告している。
すでに GeoServer プロジェクトのメンテナは、バージョン 2.23.6/2.24.4/2.25.2 でパッチを適用し、この深刻な脆弱性に対処している。ユーザーに対して強く推奨されるのは、これらのバージョンへと、直ちにアップグレードすることである。GeoServer の開発者からは、回避策も提供されているが、その機能の一部が損なわれる可能性があることに注意が必要だ。
6月30日に公開された GeoServer の脆弱性 CVE-2024-36401 ですが、その後の 2024/07/15 には「CISA KEV 警告 24/07/15:GeoServer の脆弱性 CVE-2024-36401 を登録:PoC も提供」がポストされ、悪用の状況が懸念されているところでした。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.