Lỗ hổng RCE GeoServer GeoTools đang bị khai thác trong thực tế

- Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến OSGeo GeoServer GeoTools vào danh mục Các lỗ hổng bị khai thác đã biết (KEV).

GeoServer là một máy chủ phần mềm mã nguồn mở được viết bằng Java cho phép người dùng chia sẻ và chỉnh sửa dữ liệu địa lý.

Lỗ hổng có định danh CVE-2024-36401 (điểm CVSS: 9,8), liên quan đến trường hợp thực thi mã từ xa có thể được kích hoạt thông qua dữ liệu đầu vào độc hại.

Thông báo do các nhà bảo trì dự án đưa ra vào đầu tháng này cho biết “nhiều tham số yêu cầu (request) OGC cho phép thực thi mã từ xa (RCE) mà không yêu cầu xác thực đối với bản cài đặt mặc định của GeoServer do việc đánh giá các tên thuộc tính (như các biểu thức Xpath) theo cách không an toàn”.

Lỗ hổng đã được khắc phục trong các phiên bản 2.23.6, 2.24.4 và 2.25.2. Nhà nghiên cứu bảo mật Steve Ikeoka được ghi nhận là người đã báo cáo lỗ hổng.

Hiện vẫn chưa rõ lỗ hổng này đang bị khai thác như thế nào trong thực tế nhưng Shadowserver Foundation cho biết họ đã phát hiện các hoạt động khai thác đối với các hệ thống honeypot của họ từ ngày 9 tháng 7 năm 2024.

GeoServer lưu ý rằng lỗ hổng "được xác định là có thể khai thác được thông qua các yêu cầu WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic và WPS".

Ngoài ra, các nhà bảo trì cũng vá một lỗ hổng nghiêm trọng khác (CVE-2024-36404, điểm CVSS: 9,8) có thể dẫn đến RCE "nếu một ứng dụng sử dụng chức năng GeoTools để đánh giá các biểu thức XPath do người dùng cung cấp". Lỗ hổng này đã được khắc phục trong các phiên bản 29.6, 30.4 và 31.2.

Trước tình trạng CVE-2024-36401 đang bị khai thác trong thực tế, các cơ quan liên bang được yêu cầu phải áp dụng các bản sửa lỗi do nhà cung cấp phát hành trước ngày 5 tháng 8 năm 2024.

Sự phát triển này diễn ra cùng khi báo cáo về việc khai thác lỗ hổng thực thi mã từ xa trong bộ công cụ chuyển đổi tài liệu Ghostscript (CVE-2024-29510) được công bố. Lỗ hổng này có thể bị lợi dụng để thoát -dSAFER sandbox và thực thi mã tùy ý.

Để giảm thiểu rủi ro bị tấn công, người dùng nên thường xuyên theo dõi bản tin bảo mật và nhanh chóng cập nhật bản vá cho các thiết bị, ứng dụng đang sử dụng ngay khi chúng có sẵn.

PV (theo thehackernews.com/tinnhiemmang.vn)