Geoserverで重大な脆弱性(CVE-2024-36401)任意のコードをリモート実行される可能性

セキュリティニュース

投稿日時: 更新日時:

Geoserverで重大な脆弱性(CVE-2024-36401)任意のコードをリモート実行される可能性

CISA(アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁)は、GeoServerとGeoToolsで発生している脆弱性(CVE-2024-36401)がリモート コード実行攻撃に積極的に悪用されていると警告しています。

2024年9月5日 Fortinetは脅威アクターがこの脆弱性(CVE-2024-36401)を悪用してマルウェアを配布するキャンペーンを観測した事を発表しました。

GeoServerの脆弱性(CVE-2024-36401)の対象バージョン

  • 2.23.6未満
  • 2.24.0以上2.24.4未満
  • 2.25.0以上2.25.2未満

GeoToolsの脆弱性(CVE-2024-36401)の対象バージョン

  • 29.6未満
  • 31.0以上31.2未満
  • 30.0以上30.4未満

引用:REMOTE CODE EXECUTION VULNERABILITY BETWEEN GEOSERVER AND GEOTOOLS (CVE-2024-36401/CVE-2024-36404) NOTIFICATION

GeoToolsの脆弱性(CVE-2024-36401)の対策

リリース済みのパッチ適用

GeoServerとGeoToolsの脆弱性(CVE-2024-36401)について

複数の OGC 要求パラメータにより、プロパティ名を XPath 式として安全に評価できないため認証されていないユーザーに、リモート コード実行 (RCE) が発生する可能性があります。

CISAはこの脆弱性が攻撃に積極的に悪用されていると指摘しており、アメリカの政府機関に対し2024年8月5日までにサーバーにパッチを適用することを義務付けています。

GeoServerサーバーは世界で約1.6万台が公開されている

ZoomEyeによると、約16,462台のGeoServerサーバーがオンラインで公開されており、そのほとんどは米国、中国、ルーマニア、ドイツ、フランスに設置されています。

日本でも導入している組織が存在しますので、パッチ未適用の場合早急に対策する事をお勧めします。