CISA, CVE-2024-36401'in saldırılarda aktif olarak sömürüldüğü için izlenen kritik bir Geoserver GeoTools Uzak Kod Yürütme Kusurunu uyarıyor.
Geoserver, kullanıcıların jeo-uzamsal verileri paylaşmasına, işlemesine ve değiştirmesine olanak tanıyan açık kaynaklı bir sunucudur.
30 Haziran'da Geoserver, GeoTools eklentisinde, mülk adlarının XPATH ifadeleri olarak güvensiz bir şekilde değerlendirilmesinin neden olduğu kritik bir 9.8 Ridails uzaktan kod yürütme kırılganlığını açıkladı.
Geoserver Danışmanlığı, "Geoserver'ın çağrılarının, XPath ifadelerini değerlendirirken keyfi kod yürütebilen Commons-JxPath kütüphanesine güvensiz bir şekilde iletecek şekilde özellik/öznitelik adlarını değerlendirir."
"Bu XPath değerlendirmesi, yalnızca karmaşık özellik türleri (yani uygulama şeması veri depoları) tarafından kullanılması amaçlanmıştır, ancak bu güvenlik açığını tüm Geoserver örnekleri için geçerli kılan basit özellik türlerine de yanlış uygulanmaktadır."
Güvenlik açığı o sırada aktif olarak kullanılmamış olsa da, araştırmacılar, açıkta kalan sunucularda uzaktan kod yürütmenin nasıl gerçekleştirileceğini gösteren ve bir dosya oluşturma, giden bağlantılar oluşturmayı veya bir dosya oluşturmayı gösteren konsept istismarlarının [1, 2, 3] kanıtını hızla yayınladı. /TMP klasöründe.
Proje koruyucuları, Geoserver sürümlerinde 2.23.6, 2.24.4 ve 2.25.2'deki kusurları yamaladı ve tüm kullanıcıların bu sürümlere yükseltilmesini önerdi.
Geliştiriciler ayrıca geçici çözümler sunar, ancak bazı geoserver işlevselliğini bozabilecekleri konusunda uyarırlar.
Dün, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, bilinen sömürülen güvenlik açıkları kataloğuna CVE-2024-36401'i ekledi ve kusurun saldırılarda aktif olarak sömürüldüğünü uyardı. CISA şimdi federal ajansların 5 Ağustos 2024'e kadar sunucuları düzenlemesini gerektiriyor.
CISA, kusurların nasıl kullanıldığı hakkında herhangi bir bilgi vermese de, tehdit izleme hizmeti Shadowserver, CVE-2024-36401'in 9 Temmuz'dan itibaren aktif olarak sömürüldüğünü gözlemlediklerini söyledi.
OSINT arama motoru Zoomeye, çoğu ABD, Çin, Romanya, Almanya ve Fransa'da bulunan yaklaşık 16.462 Geoserver sunucusunun çevrimiçi olarak maruz kaldığını söylüyor.
Ajansın KEV kataloğu öncelikle federal ajansları hedef alsa da, özel kuruluşlar Geoserver, saldırıları önlemek için bu kırılganlığın yamasına öncelik vermelidir.
Henüz yamalı olmayanlar hemen en son sürüme yükseltilmeli ve sistemlerini ve günlüklerini olası uzlaşma için iyice gözden geçirmelidir.
Yaygın olarak kullanılan Ghostscript Kütüphanesinde RCE Bug şimdi saldırılarda sömürüldü
CISA aktif olarak sömürülen Linux ayrıcalık yükseklik kusuru konusunda uyarıyor
Cisa, hackerların kromdan yararlanması konusunda uyarıyor, EOL D-Link Bugs
SolarWinds Erişim Hakları Denetim Yazılımında 8 Kritik Hatayı Düzeltiyor
Cisa, devs'i işletim sistemi komut enjeksiyon güvenlik açıklarını ayıklamaya çağırıyor
Kaynak: Bleeping Computer