Falha crítica no GeoServer
17 de Julho de 2024

A CISA está alertando que uma falha crítica de execução remota de código no GeoServer GeoTools, rastreada como CVE-2024-36401 , está sendo ativamente explorada em ataques.

O GeoServer é um servidor de código aberto que permite aos usuários compartilhar, processar e modificar dados geoespaciais.

Em 30 de junho, o GeoServer divulgou uma vulnerabilidade crítica de execução remota de código com gravidade 9.8 em seu plugin GeoTools, causada pela avaliação insegura de nomes de propriedades como expressões XPath.

"A API da biblioteca GeoTools que o GeoServer chama avalia nomes de propriedade/atributo para tipos de características de uma maneira que os passa de forma insegura para a biblioteca commons-jxpath, que pode executar código arbitrário ao avaliar expressões XPath", informa o aviso do GeoServer.

Esta avaliação de XPath é destinada a ser usada apenas por tipos de características complexas (ou seja, data stores de Schema de Aplicação), mas está sendo aplicada incorretamente a tipos de características simples também, o que faz com que esta vulnerabilidade se aplique a TODAS as instâncias do GeoServer.

Embora a vulnerabilidade não estivesse sendo explorada ativamente na época, pesquisadores rapidamente lançaram provas de conceito[1, 2, 3] que demonstraram como executar código remoto em servidores expostos e abrir shells reversos, fazer conexões de saída ou criar um arquivo na pasta /tmp.

Os mantenedores do projeto corrigiram a falha nas versões 2.23.6, 2.24.4 e 2.25.2 do GeoServer e recomendaram que todos os usuários atualizassem para essas versões.

Os desenvolvedores também oferecem soluções alternativas, mas alertam que elas podem quebrar algumas funcionalidades do GeoServer.

Ontem, a Agência de Segurança da Infraestrutura e Cibersegurança dos EUA adicionou o CVE-2024-36401 ao seu Catálogo de Vulnerabilidades Conhecidas Exploradas, alertando que a falha está sendo ativamente explorada em ataques.

A CISA agora exige que as agências federais corrijam os servidores até 5 de agosto de 2024.

Embora a CISA não tenha fornecido informações sobre como as falhas estavam sendo exploradas, o serviço de monitoramento de ameaças Shadowserver disse que observou o CVE-2024-36401 sendo ativamente explorado a partir de 9 de julho.

O motor de busca OSINT ZoomEye diz que aproximadamente 16.462 servidores GeoServer estão expostos online, a maioria localizada nos EUA, China, Romênia, Alemanha e França.

Embora o catálogo KEV da agência tenha como alvo principalmente agências federais, organizações privadas que utilizam GeoServer também devem priorizar a correção desta vulnerabilidade para prevenir ataques.

Aqueles que ainda não corrigiram devem imediatamente atualizar para a versão mais recente e revisar cuidadosamente seu sistema e registros em busca de possível comprometimento.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...