Zum Inhalt springen
Neuer Bericht: Holen Sie sich Ihr Exemplar des State of the Internet Report 2024! | Heute herunterladen
Beratung

16. Juli 2024 Hinweis: Sicherheitslücke in GeoServer GeoTools Mapping Toolkit ermöglicht RCE [CVE-2024-36401]

  • Datum veröffentlicht: Juli 16, 2024
  • CVE-ID und CVSS-Score: CVE-2024-36401 (CVSS-Score 9.8)
  • Name und Beschreibung des Problems: OSGeo GeoServer GeoTools Eval Injection Sicherheitslücke
  • Asset-Beschreibung: GeoServer ist ein Open-Source-Server, der Benutzern die gemeinsame Nutzung und Bearbeitung von Geodaten ermöglicht. Diese Schwachstelle bezieht sich speziell darauf, wie Eigenschafts-/Attributnamen während eines API-Aufrufs an die GeoTools-Bibliothek verarbeitet werden. Versionen vor 2.23.6, Versionen einschließlich 2.24.0 vor 2.24.4 und Versionen 2.25.0 vor 2.25.2 sind anfällig.
  • Schwachstelle Auswirkungen: Bei erfolgreicher Ausnutzung könnte ein Angreifer:
    • Ausführen von beliebigem Code mit Root-Rechten
    • Installation von Malware und Schaffung von Hintertüren
    • Manipulation von Daten und Durchdringung anderer anfälliger Systeme
    • Umgehung von Sicherheitsmechanismen wie Firewalls und Intrusion Detection Systemen
    • Erhebliche Datenschutzverletzungen, die zum Bekanntwerden sensibler Informationen führen
  • Details zur Ausbeutung:
    • Diese Sicherheitslücke wurde am 15. Juli 2024 in den CISA-Katalog der bekannten Sicherheitslücken aufgenommen.
    • Anfällige Versionen haben mehrere OGC-Anforderungsparameter, die Remote Code Execution (RCE) durch nicht authentifizierte Benutzer über speziell gestaltete Eingaben gegen eine Standard-GeoServer-Installation ermöglichen, da Property-Namen unsicher als XPath-Ausdrücke ausgewertet werden.
    • Es wird kein öffentlicher PoC bereitgestellt, aber es wurde bestätigt, dass diese Schwachstelle durch WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic und WPS Execute-Anfragen ausgenutzt werden kann.
  • Patch-Verfügbarkeit:
    • GeoServer hat diese Sicherheitslücke in den Versionen 2.23.6, 2.24.4 und 2.25.2 gepatcht.
    • Ein Workaround besteht darin, die Datei gt-complex-x.y.jar aus dem GeoServer zu entfernen, wobei x.y die GeoTools-Version ist (z.B. gt-complex-31.1.jar, wenn GeoServer 2.25.1 läuft). Dies entfernt den verwundbaren Code aus dem GeoServer, kann aber einige Funktionen des GeoServers beeinträchtigen oder verhindern, dass der GeoServer eingesetzt werden kann, wenn das gt-complex Modul benötigt wird.
  • Erkennung mit Censys: Die folgenden Abfragen können genutzt werden, um alle Censys-sichtbaren, öffentlich zugänglichen GeoServer-Instanzen zu identifizieren. Beachten Sie, dass dadurch nicht alle verwundbaren Versionen ermittelt werden, sondern nur Instanzen, die ihre Version anzeigen.
    • Censys Search Abfrage: services.software: (Anbieter: "GeoServer" und Produkt: "GeoServer")
    • Censys ASM-Abfrage: host.services.software: (Anbieter: "GeoServer" und Produkt: "GeoServer" ) oder (web_entity.instances.software.vendor: "GeoServer" und web_entity.instances.software.product: "GeoServer")
    • Censys ASM-Risikoabfrage: risks.name="Anfälliger GeoServer [CVE-2024-36401]"
  • Referenzen:
Lösungen für das Management von Angriffsflächen
Mehr erfahren