Ir al contenido
Nuevo informe: Consiga su copia del Informe sobre el estado de Internet 2024. | Descargar hoy
Asesoría

Aviso del 16 de julio de 2024: Vulnerabilidad en GeoServer GeoTools Mapping Toolkit Enable RCE [CVE-2024-36401]

  • Fecha de publicación: 16 de julio de 2024
  • CVE-ID y puntuación CVSS: CVE-2024-36401 (puntuación CVSS 9,8)
  • Nombre y descripción del problema: OSGeo GeoServer GeoTools Eval Vulnerabilidad de inyección
  • Descripción del activo: GeoServer es un servidor de código abierto que permite a los usuarios compartir y editar datos geoespaciales. Esta vulnerabilidad se refiere específicamente a cómo se procesan los nombres de propiedades/atributos durante una llamada API a la biblioteca GeoTools. Son vulnerables las versiones anteriores a la 2.23.6, las versiones 2.24.0 anteriores a la 2.24.4 y las versiones 2.25.0 anteriores a la 2.25.2.
  • Vulnerabilidad Impacto: Si se explota con éxito, un atacante podría:
    • Ejecutar código arbitrario con privilegios de root
    • Instalar malware y crear puertas traseras
    • Manipular datos y atravesar otros sistemas vulnerables
    • Eludir mecanismos de seguridad como cortafuegos y sistemas de detección de intrusos.
    • Llevar a cabo violaciones de datos significativas, que den lugar a la filtración de información sensible.
  • Detalles de la explotación:
    • Esta vulnerabilidad se añadió al Catálogo de Vulnerabilidades Explotadas Conocidas de CISA el 15 de julio de 2024.
    • Las versiones vulnerables tienen múltiples parámetros de solicitud OGC que permiten la ejecución remota de código (RCE) por usuarios no autenticados a través de entradas especialmente diseñadas contra una instalación GeoServer por defecto debido a la evaluación insegura de nombres de propiedades como expresiones XPath.
    • No se ha proporcionado un PoC público, pero se ha confirmado que esta vulnerabilidad se puede explotar a través de las solicitudes WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic y WPS Execute.
  • Disponibilidad del parche:
    • GeoServer ha parcheado esta vulnerabilidad en las versiones 2.23.6, 2.24.4 y 2.25.2.
    • Existe una solución eliminando el archivo gt-complex-x.y.jar de GeoServer, donde x.y es la versión de GeoTools (por ejemplo, gt-complex-31.1.jar si se ejecuta GeoServer 2.25.1). Esto eliminará el código vulnerable de GeoServer pero puede romper alguna funcionalidad de GeoServer o impedir que GeoServer se despliegue si se necesita el módulo gt-complex.
  • Detección con Censys: Las siguientes consultas pueden utilizarse para identificar todas las instancias de GeoServer visibles al público en Censys. Tenga en cuenta que esto no identifica todas las versiones vulnerables, sólo las instancias que muestran su versión.
    • Censys Consulta de búsqueda: services.software: (vendor: "GeoServer" and product: "GeoServer")
    • Censys Consulta ASM: host.services.software: (vendor: "GeoServer" and product: "GeoServer" ) or (web_entity.instances.software.vendor: "GeoServer" y web_entity.instances.software.product: "GeoServer")
    • Censys ASM Risk query: risks.name="GeoServer Vulnerable [CVE-2024-36401]"
  • Referencias:
Soluciones de gestión de la superficie de ataque
Más información