CISA está advirtiendo soobre una
falla crítica de ejecución remota de código de GeoServer GeoTools
identificada como
CVE-2024-36401
que está siendo explotada activamente en ataques.
GeoServer es un servidor de código abierto que permite a los usuarios
compartir, procesar y modificar datos geoespaciales.
El 30 de junio, GeoServer reveló una vulnerabilidad crítica de ejecución
remota de código de gravedad 9.8 en su complemento GeoTools causada por la
evaluación insegura de nombres de propiedades como expresiones XPath.
«La API de la biblioteca GeoTools a la que llama GeoServer evalúa los
nombres de propiedades/atributos para tipos de características de una manera
que los pasa de manera insegura a la biblioteca commons-jxpath, que puede
ejecutar código arbitrario al evaluar expresiones XPath», se lee en el
aviso de GeoServer.
OSGeo GeoServer GeoTools contiene una neutralización inadecuada de directivas
en las expresiones XPath. Esto permite a atacantes no autenticados realizar la
ejecución remota de código a través de entradas especialmente diseñadas. Esta
evaluación XPath está destinada a ser utilizada únicamente por tipos de
funciones complejas (es decir, almacenes de datos de esquemas de aplicación),
pero también se aplica incorrectamente a tipos de funciones simples, lo que
hace que
esta vulnerabilidad se aplique a TODAS las instancias de GeoServer.
Si bien la vulnerabilidad no estaba siendo explotada activamente, los
investigadores rápidamente publicaron pruebas de concepto de
exploits [1,
2,
3] que demostraron cómo realizar la ejecución remota de código en servidores
expuestos y abrir shells inversas, realizar conexiones salientes o
crear un archivo en la carpeta /tmp.
Los mantenedores del proyecto
parchearon la falla en las
versiones 2.23.6, 2.24.4 y 2.25.2
de GeoServer
y recomendaron que todos los usuarios actualicen a estas versiones. Los
desarrolladores también ofrecen soluciones alternativas, pero advierten que
pueden dañar algunas funciones de GeoServer.
CVE-2024-36401 utilizado en ataques
Ayer, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU.
agregó CVE-2024-36401 a su
catálogo de vulnerabilidades explotadas conocidas (KEV), advirtiendo que la falla se está explotando activamente en ataques.
Si bien CISA no proporcionó ninguna información sobre cómo se estaban
explotando las fallas, el servicio de monitoreo de amenazas Shadowserver dijo
que observaron que CVE-2024-36401 estaba siendo explotada activamente a partir
del 9 de julio.
El motor de búsqueda OSINT
ZoomEye dice
que aproximadamente 16.462 servidores GeoServer están expuestos en línea, la
mayoría ubicados en EE.UU., China, Rumania, Alemania y Francia.
Aquellos que aún no hayan aplicado el parche deben actualizar inmediatamente a
la última versión y revisar minuciosamente su sistema y sus registros para
detectar posibles compromisos.
Fuente:
BC
Los comentarios están cerrados.