GeoServer CVE-2024-36401
CVE-2024-36401
CWE-95(Eval インジェクション)
CVSS v3(GitHub) 9.8
脆弱なバージョン:GeoServer 2.23.5 以下/2.24.3 以下/2.25.1 以下
修正済バージョン:GeoServer 2.23.6/2.24.4/2.25.2
※GeoServerとは
地理情報の共有や編集を行う、Javaで組まれたオープンソースのサーバーソフトウェア。OpenLayersやGoogle マップやBing Maps、またはGoogle EarthやNASA World WindなどWeb上の地図や天球の既存情報への接続を容易にしている。対応OSは Linux/Microsoft Windows/macOS/POSIX。
https://ja.wikipedia.org/wiki/GeoServer
https://geoserver.org/
- 2024/09/19 Earth Baxia サイバー・スパイ:CVE-2024-36401 を武器にして APAC を狙う
- 2024/09/06 脆弱性 CVE-2024-36401:マルウェアの展開などに悪用
- 2024/07/15:CISA KEV:脆弱性 CVE-2024-36401 を登録:PoC も提供
- 2024/07/02 GeoServer の脆弱性 CVE-2024-36401 (CVSS 9.8) が FIX:RCE の恐れ
CrowdStrike
9/10 に Microsoft がサミット (Windows Endpoint Security Ecosystem Summit) を開催。エンドポイント・セキュリティ企業や政府関係者が招待され、セキュリティと回復力の向上に関する議論が行われたとのこと。9/13 に Microsoft は Windows カーネル連携方法の再設計を発表、”outside of kernel mode” という新しいモードを提示。
9/24 には、CrowdStrike 幹部に対する米下院の公聴会が行われた。※公聴会の記事については、明後日10/2 のニュースで配信予定。
- 2024/09/13 Windows カーネル連携方法の再設計を Microsoft が発表
- 2024/08/30 9月に開催される米下院の委員会で幹部が証言
- 2024/08/27 Microsoft がサミットを開催:エンドポイント・セキュリティ企業が参加
- 2024/07/21:混乱に乗じてマルウェアやデータ・ワイパーが配布されている
- 2024/09/24:CrowdStrike への米下院の公聴会:何が起こったのか?(10/2 配信予定)
OSS の脆弱性
9月上旬に公開された OSS の依存関係に関するレポート (Endor Labs – 2024 Dependency Management Report) 。
課題1:OSS の依存関係
OSS のアップグレードにおいては、95%という、ほぼ全ての確率で他のコンポーネントの動作を妨げる、少なくとも1つの変更が含まれているため、パッチを適用すると、75%の確率で動作に支障をきたす可能性が生じるという。
課題2:脆弱性情報の文書化、公開の遅延
OSS のエンド・ユーザーにとっての、脆弱性に関する重要な情報の公開の遅延が発生しており、調査対象となる6つのオープンソース・エコシステムにおいて、公開された脆弱性データベースの勧告の 47% が、コード・レベルの脆弱性情報をまったく取り込んでいなかった。また、修正コミットへの参照を取り込んでいたのは 51% であり、影響を受ける関数の情報を取り込んでいたものは僅か2%であったという。
課題3:脆弱性の優先順位付け
Endor Labs は、脆弱性の優先順位付けに最も有効な手法として、アプリケーションで脆弱性が悪用可能かどうかを判断する “機能レベル到達可能性分析” として知られるコードスキャン技術を挙げている。そして2番目は、データ駆動型の EPSS (Exploit Prediction Scoring System) であると述べている。同社は、このシステムと到達可能性分析を組み合わせたプログラムでは、最大で 98%のノイズ低減を実現できると指摘している。
2024/09/12 75% の確率でアプリは壊れる:依存関係のある OSS のアップデートが及ぼす影響 – Endor Labs
IoT OT Security News 