Skip to content
Nouveau rapport : Obtenez votre exemplaire du rapport 2024 sur l'état de l'internet ! | Télécharger aujourd'hui
Avis

16 juillet 2024 Avis : Une vulnérabilité dans GeoServer GeoTools Mapping Toolkit permet un RCE [CVE-2024-36401].

Partager

16 juillet 2024
Tags :
  • Date de publication : 16 juillet 2024
  • CVE-ID et score CVSS : CVE-2024-36401 (score CVSS 9.8)
  • Nom et description du problème : OSGeo GeoServer GeoTools Eval Injection Vulnérabilité
  • Description de l'actif: GeoServer est un serveur open source qui permet aux utilisateurs de partager et d'éditer des données géospatiales. Cette vulnérabilité concerne spécifiquement la façon dont les noms de propriétés/attributs sont traités lors d'un appel API à la bibliothèque GeoTools. Les versions antérieures à 2.23.6, les versions incluant 2.24.0 avant 2.24.4, et les versions 2.25.0 avant 2.25.2 sont vulnérables.
  • Vulnérabilité Impact: En cas d'exploitation réussie, un attaquant pourrait :
    • Exécution d'un code arbitraire avec les privilèges de l'administrateur (root)
    • Installer des logiciels malveillants et créer des portes dérobées
    • Manipuler des données et traverser d'autres systèmes vulnérables
    • contourner les mécanismes de sécurité tels que les pare-feu et les systèmes de détection d'intrusion
    • Mener d'importantes violations de données, entraînant la fuite d'informations sensibles
  • Détails de l'exploitation :
    • Cette vulnérabilité a été ajoutée au catalogue des vulnérabilités exploitées connues de la CISA le 15 juillet 2024.
    • Les versions vulnérables ont plusieurs paramètres de requête OGC qui permettent l'exécution de code à distance (RCE) par des utilisateurs non authentifiés à travers des entrées spécialement conçues contre une installation GeoServer par défaut en raison de l'évaluation non sécurisée des noms de propriété en tant qu'expressions XPath.
    • Aucun PoC public n'est fourni, mais il a été confirmé que cette vulnérabilité est exploitable via les requêtes WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic et WPS Execute.
  • Disponibilité du patch :
    • GeoServer a corrigé cette vulnérabilité dans les versions 2.23.6, 2.24.4 et 2.25.2.
    • Une solution de contournement existe en supprimant le fichier gt-complex-x.y.jar du GeoServer où x.y est la version de GeoTools (par exemple, gt-complex-31.1.jar si le GeoServer 2.25.1 est en cours d'exécution). Ceci supprimera le code vulnérable du GeoServer mais peut casser certaines fonctionnalités du GeoServer ou empêcher le GeoServer de se déployer si le module gt-complex est nécessaire.
  • Détection avec Censys: Les requêtes suivantes peuvent être utilisées pour identifier toutes les instances de GeoServer Censys visibles par le public. Notez que cela ne permet pas d'identifier toutes les versions vulnérables, mais seulement les instances qui affichent leur version.
    • Censys Requête de recherche: services.software : (vendor : "GeoServer" and product : "GeoServer")
    • Censys Requête ASM: host.services.software : (vendor : "GeoServer" and product : "GeoServer" ) or (web_entity.instances.software.vendor : "GeoServer" et web_entity.instances.software.product : "GeoServer")
    • Censys Requête de risque ASM: risks.name="GeoServer vulnérable [CVE-2024-36401]"
  • Références :
Retour au centre de ressources
Solutions de gestion de la surface d'attaque
En savoir plus