1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Geoserverで重大な脆弱性(CVE-2024-36401)任意のコードをリモート実行される可能性

Geoserverで重大な脆弱性(CVE-2024-36401)任意のコードをリモート実行される可能性

セキュリティニュース

投稿日時: 更新日時:

Geoserverで重大な脆弱性(CVE-2024-36401)任意のコードをリモート実行される可能性

CISA(アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁)は、GeoServerとGeoToolsで発生している脆弱性(CVE-2024-36401)がリモート コード実行攻撃に積極的に悪用されていると警告しています。

2024年9月5日 Fortinetは脅威アクターがこの脆弱性(CVE-2024-36401)を悪用してマルウェアを配布するキャンペーンを観測した事を発表しました。

GeoServerの脆弱性(CVE-2024-36401)の対象バージョン

  • 2.23.6未満
  • 2.24.0以上2.24.4未満
  • 2.25.0以上2.25.2未満

GeoToolsの脆弱性(CVE-2024-36401)の対象バージョン

  • 29.6未満
  • 31.0以上31.2未満
  • 30.0以上30.4未満

引用:REMOTE CODE EXECUTION VULNERABILITY BETWEEN GEOSERVER AND GEOTOOLS (CVE-2024-36401/CVE-2024-36404) NOTIFICATION

GeoToolsの脆弱性(CVE-2024-36401)の対策

リリース済みのパッチ適用

GeoServerとGeoToolsの脆弱性(CVE-2024-36401)について

複数の OGC 要求パラメータにより、プロパティ名を XPath 式として安全に評価できないため認証されていないユーザーに、リモート コード実行 (RCE) が発生する可能性があります。

CISAはこの脆弱性が攻撃に積極的に悪用されていると指摘しており、アメリカの政府機関に対し2024年8月5日までにサーバーにパッチを適用することを義務付けています。

GeoServerサーバーは世界で約1.6万台が公開されている

ZoomEyeによると、約16,462台のGeoServerサーバーがオンラインで公開されており、そのほとんどは米国、中国、ルーマニア、ドイツ、フランスに設置されています。

日本でも導入している組織が存在しますので、パッチ未適用の場合早急に対策する事をお勧めします。

関連記事

GeoServerの脆弱性(CVE-2024-36401)を悪用したマルウェア攻撃が観測されるGeoServerの脆弱性(CVE-2024-36401)を悪用したマルウェア攻撃が観測される 古いIPカメラのゼロデイ脆弱性を悪用するマルウェア(CVE-2024-7029)古いIPカメラのゼロデイ脆弱性を悪用するマルウェア(CVE-2024-7029) Default ThumbnailMoxaのIIoTゲートウェイ「AIG-301シリーズ」の特定バージョンで既知の脆弱性 azure-uamqp に影響すると発表 Default Thumbnail東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性 OpenSSHが認証されていないリモート コード実行に対して深刻な脆弱性(regreSSHion 、CVE-2024-6387)OpenSSHで認証されていないリモート コードを実行される深刻な脆弱性(regreSSHion 、CVE-2024-6387) WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) Default ThumbnailVMwareのvCenterで重大な脆弱性のパッチがリリース 今すぐ適用を(CVE-2024-37079、CVE-2024-37080、CVE-2024-37081) MicrosoftのWindowsは脆弱性(regreSSHion 、CVE-2024-6387)の影響を受けないMicrosoftのWindowsは脆弱性(regreSSHion 、CVE-2024-6387)の影響を受けない GitHub Enterprise Serverで重大な脆弱性(CVE-2024-6800)GitHub Enterprise Serverで重大な脆弱性(CVE-2024-6800)