
CISA(アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁)は、GeoServerとGeoToolsで発生している脆弱性(CVE-2024-36401)がリモート コード実行攻撃に積極的に悪用されていると警告しています。
2024年9月5日 Fortinetは脅威アクターがこの脆弱性(CVE-2024-36401)を悪用してマルウェアを配布するキャンペーンを観測した事を発表しました。
目次
GeoServerの脆弱性(CVE-2024-36401)の対象バージョン
- 2.23.6未満
- 2.24.0以上2.24.4未満
- 2.25.0以上2.25.2未満
GeoToolsの脆弱性(CVE-2024-36401)の対象バージョン
- 29.6未満
- 31.0以上31.2未満
- 30.0以上30.4未満
GeoToolsの脆弱性(CVE-2024-36401)の対策
リリース済みのパッチ適用
GeoServerとGeoToolsの脆弱性(CVE-2024-36401)について
複数の OGC 要求パラメータにより、プロパティ名を XPath 式として安全に評価できないため認証されていないユーザーに、リモート コード実行 (RCE) が発生する可能性があります。
CISAはこの脆弱性が攻撃に積極的に悪用されていると指摘しており、アメリカの政府機関に対し2024年8月5日までにサーバーにパッチを適用することを義務付けています。
GeoServerサーバーは世界で約1.6万台が公開されている
ZoomEyeによると、約16,462台のGeoServerサーバーがオンラインで公開されており、そのほとんどは米国、中国、ルーマニア、ドイツ、フランスに設置されています。
日本でも導入している組織が存在しますので、パッチ未適用の場合早急に対策する事をお勧めします。