ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Pazartesi günü aktif istismara dair kanıtlara dayanarak, OSGeo GeoServer GeoTools’u etkileyen kritik bir güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi.
GeoServer, kullanıcıların coğrafi verileri paylaşmasına ve düzenlemesine olanak tanıyan Java’da yazılmış açık kaynaklı bir yazılım sunucusudur. Open Geospatial Consortium (OGC) Web Feature Service (WFS) ve Web Coverage Service (WCS) standartlarının referans uygulamasıdır.
CVE-2024-36401 (CVSS puanı: 9,8) olarak izlenen güvenlik açığı, özel olarak hazırlanmış girdi aracılığıyla tetiklenebilen uzaktan kod yürütme durumuyla ilgili.
Proje bakıcıları tarafından bu ayın başlarında yayınlanan bir duyuruya göre, “Birden fazla OGC istek parametresi, varsayılan bir GeoServer kurulumuna karşı özel olarak hazırlanmış girdiler aracılığıyla kimliği doğrulanmamış kullanıcılar tarafından Uzaktan Kod Yürütülmesine (RCE) izin veriyor; bunun nedeni, özellik adlarının XPath ifadeleri olarak güvenli olmayan bir şekilde değerlendirilmesi.”
Bu eksiklik 2.23.6, 2.24.4 ve 2.25.2 sürümlerinde giderildi. Güvenlik araştırmacısı Steve Ikeoka’nın bu açığı bildirdiği belirtiliyor.
Şu anda güvenlik açığının vahşi doğada nasıl istismar edildiği net değil. GeoServer, sorunun “WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic ve WPS Execute istekleri aracılığıyla istismar edilebilir olduğu doğrulandı” dedi.
Bakımcılar tarafından yamalanan bir diğer kritik kusur da (CVE-2024-36404, CVSS puanı: 9.8) “bir uygulama, kullanıcı girdisiyle sağlanan XPath ifadelerini değerlendirmek için belirli GeoTools işlevlerini kullanıyorsa” RCE’ye yol açabilecektir. Bu kusur 29.6, 30.4 ve 31.2 sürümlerinde çözülmüştür.
CVE-2024-36401’in aktif olarak kötüye kullanılması nedeniyle federal kurumların, satıcı tarafından sağlanan düzeltmeleri 5 Ağustos 2024’e kadar uygulaması gerekiyor.
Bu gelişme, Ghostscript belge dönüştürme araç setindeki (CVE-2024-29510) uzaktan kod yürütme güvenlik açığının aktif olarak istismar edildiğine dair raporların ortaya çıkmasının ardından geldi; bu güvenlik açığı, -dSAFER deneme alanından kaçmak ve keyfi kod çalıştırmak için kullanılabiliyordu.
ReadMe geliştiricisi Bill Mill’e göre, Codean Labs’ın 14 Mart 2024’te sorumlu bir şekilde ifşa etmesinin ardından 10.03.1 sürümünde giderilen güvenlik açığı, o zamandan beri savunmasız sistemlere kabuk erişimi elde etmek için bir silah olarak kullanılıyor.