محققان FORTIGUARD، نفوذگرانی را مشاهده کردند که با اکسپلویت آسیبپذیری حیاتی CVE-2024-36401 (امتیاز CVSS: 9.8) در GeoServer تلاش میکنند تا به ارائهدهندگان خدمات فناوری اطلاعات در هند، ایالات متحده، نهادهای دولتی در بلژیک و شرکتهای مخابراتی در تایلند و برزیل دسترسی یابند.
در 1 جولای یک توصیه امنیتی برای این آسیبپذیری توسط توسعهدهندگان پروژه منتشر شد. چندین پارامتر درخواست OGC به دلیل ارزیابی نامطلوب نام property به عنوان عبارات XPath، امکان اجرای کد از راه دور (RCE) توسط کاربران احراز هویت نشده را از طریق ورودی دستکاری شده ویژه در برابر نصب پیش فرض GeoServer میدهد.
گفتنی است که نقص امنیتی مذکور جهت توزیع گونهای از بدافزار Mirai با اهداف اولیه در سه منطقه اصلی آمریکای جنوبی، اروپا و آسیا اکسپلویت شده است. این گسترش جغرافیایی نشاندهنده یک کمپین حمله پیچیده و گسترده است که به طور بالقوه از آسیبپذیریهای رایج در این بازارهای متنوع سوءاستفاده میکند یا صنایع خاص رایج در این مناطق را هدف قرار میدهد.
این نقص در نسخههای 2.23.6، 2.24.4 و 2.25.2 برطرف شده است. در 15 جولای نیز آژانس امنیت سایبری CISA این نقص امنیتی مهم را که بر ابزارهای جغرافیایی OSGeo GeoServer تأثیر میگذارد، به فهرست آسیبپذیریهای شناخته شده (KEV) خود افزود.
- پلتفرمهای تحت تأثیر: GeoServer قبل از نسخههای 2.23.6، 2.24.4 و 2.25.2 کاربران تحت تاثیر: هر سازمانی
- تأثیر: مهاجمان از راه دور کنترل سیستم های آسیب پذیر را به دست می آورند
- سطح شدت: بحرانی
https://www.fortinet.com/blog/threat-research/threat-actors-exploit-geoserver-vulnerability-cve-2024-36401
