Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), GeoServer’da CVE-2024-36401 olarak tanımlanan kritik bir Uzaktan Kod Yürütme (RCE) güvenlik açığıyla ilgili acil bir uyarı yayınladı.
Bu güvenlik açığı şu anda kötü niyetli kişiler tarafından aktif olarak istismar ediliyor ve etkilenen GeoServer sürümlerini kullanan sistemler için önemli riskler oluşturuyor.
GeoServer RCE Güvenlik Açığı
Güvenlik açığı, GeoServer’ın özellik türleri için özellik ve öznitelik adlarını değerlendirmek için güvendiği GeoTools kitaplığı API’sinden kaynaklanmaktadır. Bu değerlendirme süreci, bu adları güvenli olmayan bir şekilde, XPath ifadelerini ayrıştırırken keyfi kod yürütebilen commons-jxpath kitaplığına iletir.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files
Bu kusur, kimliği doğrulanmamış saldırganların, özel olarak hazırlanmış girdileri varsayılan bir GeoServer kurulumuna göndererek keyfi kod yürütmesine olanak tanır.
Güvenlik açığı GeoServer ve GeoTools’un aşağıdaki sürümlerini etkiliyor:
- GeoSunucu: 2.23.6, 2.24.0 – 2.24.3 ve 2.25.0 – 2.25.1 öncesi sürümler.
- Coğrafi Araçlar: 29.6, 30.0 – 30.3 ve 31.0 – 31.1 öncesi sürümler.
Bu güvenlik açığından faydalanma, WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic ve WPS Execute istekleri gibi birden fazla OGC istek parametresi aracılığıyla gerçekleştirilebilir.
Başarılı bir istismar, saldırganların etkilenen sistemlerde keyfi kod yürütmesine olanak tanır ve bu da veri ihlalleri ve sistem güvenliğinin tehlikeye atılması gibi ciddi sonuçlara yol açabilir.
Herhangi bir genel kavram kanıtı (PoC) yayınlanmamış olsa da, güvenlik araştırmacıları bu güvenlik açığının istismar edilebilirliğini doğruladı. 9,8’lik CVSS puanı kritik doğasını vurgular.
Azaltma ve Geçici Çözüm
CISA, bu güvenlik açığına karşı korunmak için aşağıdaki hafifletme adımlarını önermektedir:
- En Son Sürümlere Güncelleyin: Kullanıcılara, bu güvenlik açığını gideren yamalar içeren GeoServer ve GeoTools’un en son sürümlerine yükseltmeleri şiddetle tavsiye edilir. Yamalı sürümler arasında GeoServer 2.23.6, 2.24.4 ve 2.25.2 ve GeoTools 29.6, 30.4 ve 31.2 bulunur.
- Güvenlik Yamalarını Uygula: Hemen yükseltme yapamayanlar için, etkilenen sürümler için güvenlik yamaları mevcuttur. Bu yamalar resmi GeoServer ve GeoTools depolarından indirilebilir ve güncellenmiş sürümleri içerir
gt-app-schema,gt-complexVegt-xsd-corejar dosyaları. - Geçici Çözüm: Geçici bir önlem olarak, kullanıcılar şunları kaldırabilir:
gt-complex-x.y.jarGeoServer kurulumlarından dosya. Bu eylem, güvenlik açığı olan kodu ortadan kaldıracaktır ancak özellikle uzantılar varsa bazı GeoServer işlevlerini bozabilirinkullanım gerektirirmodül.
- GeoServer WAR Dağıtımları İçin:
- Uygulama sunucusunu durdurun.
- Sıkıştırılmış dosyayı aç
geoserver.warBir dizine. - Kaldır
WEB-INF/lib/gt-complex-x.y.jardosya. - Dizini yeni bir dizine yeniden sıkıştırın
geoserver.war. - Uygulama sunucusunu yeniden başlatın.
- GeoServer İkili Dağıtımları İçin:
- Dur Jetty.
- Kaldır
webapps/geoserver/WEB-INF/lib/gt-complex-x.y.jardosya. - Jetty’yi yeniden başlatın.
CISA, aktif olarak istismar edilmesi ve etkilenen sistemler için oluşturduğu ciddi risk nedeniyle bu güvenlik açığının ele alınmasının aciliyetini vurgulamaktadır. GeoServer kullanan kuruluşların, sistemlerini olası saldırılara karşı korumak için önerilen güncellemeleri veya azaltma önlemlerini uygulayarak derhal harekete geçmeleri rica olunur.
GeoServer Sürümü Nasıl Kontrol Edilir
Çalıştırdığınız GeoServer sürümünü belirleyin. Bu genellikle GeoServer web arayüzünde “GeoServer Hakkında” altında veya kontrol ederek bulunabilir. geoserver.war eğer dağıttıysanız dosya adı.
“Sisteminiz Saldırı Altında mı? Cynet XDR’yi deneyin: Uç Noktalar, Ağlar ve Kullanıcılar için Otomatik Algılama ve Yanıt!” – Ücretsiz Demo