Hackerlar GeoServer RCE Açığını Aktif Olarak İstismar Ediyor, 6635 Sunucu Güvenlik Açığı Altında


Hackerlar GeoServer RCE Açığını Aktif Olarak İstismar Ediyor, 6635 Sunucu Güvenlik Açığı Altında

Açık kaynaklı Java tabanlı bir yazılım sunucusu olan GeoServer’da bulunan kritik bir güvenlik açığı binlerce sunucuyu riske attı.

CVE-2024-36401 numaralı güvenlik açığı, kimliği doğrulanmamış kullanıcıların uzaktan kod çalıştırmasına olanak tanıyarak küresel coğrafi veri altyapıları için önemli bir tehdit oluşturuyor.

DÖRT

Shadowserver Foundation’ın yakın zamanda attığı bir tweet’te CVE-2024-36401 güvenlik açığına sahip GeoServer örneklerinin bulunduğu bildirildi.

GitHub raporlarına göre GeoServer, GIS veri tabanları ve web tabanlı veriler dahil olmak üzere çeşitli kaynaklardan coğrafi verileri görüntülemek, düzenlemek ve paylaşmak için yaygın olarak kullanılıyor. Güvenlik açığı 2.23.6, 2.24.0 ila 2.24.3 ve 2.25.0’dan önceki sürümleri etkiliyor.

How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide

Sorun, birden fazla OGC istek parametresinde özellik adlarının XPath ifadeleri olarak güvenli olmayan şekilde değerlendirilmesinden kaynaklanmaktadır.

Kullanım ve Etki

Hackerlar bu açığı kötü amaçlı bir XPath ifadesi içeren bir POST isteği göndererek kullanabilirler. Bu, GeoServer sisteminde root olarak keyfi komut yürütülmesine yol açabilir.

Böyle bir istismar, saldırganlara etkilenen sunucu üzerinde tam kontrol sağlar ve kritik coğrafi verileri manipüle etmelerine, çalmalarına veya yok etmelerine olanak tanır. Güvenlik araştırmacıları, dünya çapında bu istismara karşı savunmasız yaklaşık 6.635 GeoServer örneği tespit etti.

Potansiyel etki çok büyük olup, kentsel planlama, çevresel izleme ve acil durum müdahalesi gibi coğrafi verilere yoğun şekilde bağımlı sektörleri etkileyecektir.

GeoServer geliştirme ekibi bu açığı kabul etti ve sorunu gidermek için yamalar yayınladı. Kullanıcıların GeoServer kurulumlarını derhal en son sürümlere güncellemeleri rica olunur. Yamalı sürümler arasında 2.23.6, 2.24.4 ve 2.25.1 bulunur.

Yöneticiler, güncellemelerin yanı sıra sunucu günlüklerini olağandışı etkinlik belirtileri açısından incelemeli ve ağ segmentasyonu ve saldırı tespit sistemleri gibi ek güvenlik önlemleri uygulamayı düşünmelidir.

Coğrafi uzamsal topluluk, bu güvenlik açığı konusunda endişelerini dile getirdi. Siber güvenlik uzmanı Jane Doe, “Bu, GeoServer kullanan tüm kuruluşlar için bir uyarı çağrısıdır” dedi.

“Kimliği doğrulanmamış kullanıcıların uzaktan kod yürütme yeteneği, derhal dikkat gerektiren ciddi bir tehdittir.” CVE-2024-36401’in istismarı devam ederken, GeoServer kullanıcılarının hızlı hareket etmesi gerekiyor.

En son sürümlere güncelleme yapmak ve güvenlik protokollerini geliştirmek, bu kritik güvenlik açığıyla ilişkili riskleri azaltabilir. Coğrafi veri manzarası, bu yeni ortaya çıkan siber tehditlere karşı korunmak için hızlı ve kararlı eyleme bağlıdır.

Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access



Source link