◆概要
2024 年 7 月に公開された、GeoServer およびその関連ツールの脆弱性の悪用を試みるエクスプロイトコードが公開されています。攻撃者に脆弱性を悪用されると、GeoServer およびその関連ツール の実行権限で OS に侵入されてしまいます。ソフトウェアのアップデートにより対策しましょう。
◆分析者コメント
脆弱性は容易に悪用可能であり、攻撃可能とされている経路がいくつか存在すると報告されています。ソフトウェアのバージョンアップデートの他にも、特定の Jar ファイルの削除でも対策できると報告されていますが、可能な限りソフトウェアのアップデートによる対策を推奨します。
◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2024-36401&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=GitHub,%20Inc.
◆影響を受けるソフトウェア
以下のバージョンの GeoServer 関連製品が当該脆弱性の影響を受けると報告されています。
* GeoServer 2.23 系 - 2.23.6 未満
* GeoServer 2.24 系 - 2.24.0 以上 2.24.4 未満
* GeoServer 2.25 系 - 2.25.0 以上 2.25.2 未満
* GeoTools 29 系 - 29.6 未満
* GeoTools 30 系 - 30.0 以上 30.4 未満
* GeoTools 31 系 - 31.0 以上 31.2 未満
◆解説
地理空間データ連携用のソフトウェアとして活用されている GeoServer とその関連ソフトウェアに、遠隔からの任意のコード実行につながる入力値検証不備の脆弱性が報告されています。
脆弱性は、GeoServer が呼び出す GeoTools ライブラリ API に存在します。当該 API では、XPath 形式の入力値を Java のコードとして実行するための JXPath に変換する機能を備えていますが、入力のプロパティ値の検証に不備があるため、攻撃者が XPath に混入した Java のコードを解釈して実行してしまいます。
◆対策
GeoServer の脆弱性の影響を受けないバージョンへのアップデートにより、当該脆弱性への対策が可能です。また、gt-complex-x.y.jar というファイルをサーバ上から削除する方法でも、対策が可能であると報告されています。当該ファイルは geoserver.war 内部に圧縮されている場合があるので注意してください。
◆関連情報
[1] GeoServer 公式
https://github.com/geoserver/geoserver/security/advisories/GHSA-6jj6-gm7p-fcvv
[2] GeoServer 公式
https://github.com/geotools/geotools/security/advisories/GHSA-w3pj-wh35-fq8w
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2024-36401
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-36401
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して対象ホストに対して任意のコマンド実行の指示を試みるエクスプロイトコードが公開されています。
GitHub - bigb0x/CVE-2024-36401
https://github.com/bigb0x/CVE-2024-36401/blob/main/cve-2024-36401.py
#--- で始まる行は執筆者によるコメントです。
2024 年 7 月に公開された、GeoServer およびその関連ツールの脆弱性の悪用を試みるエクスプロイトコードが公開されています。攻撃者に脆弱性を悪用されると、GeoServer およびその関連ツール の実行権限で OS に侵入されてしまいます。ソフトウェアのアップデートにより対策しましょう。
◆分析者コメント
脆弱性は容易に悪用可能であり、攻撃可能とされている経路がいくつか存在すると報告されています。ソフトウェアのバージョンアップデートの他にも、特定の Jar ファイルの削除でも対策できると報告されていますが、可能な限りソフトウェアのアップデートによる対策を推奨します。
◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2024-36401&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=GitHub,%20Inc.
◆影響を受けるソフトウェア
以下のバージョンの GeoServer 関連製品が当該脆弱性の影響を受けると報告されています。
* GeoServer 2.23 系 - 2.23.6 未満
* GeoServer 2.24 系 - 2.24.0 以上 2.24.4 未満
* GeoServer 2.25 系 - 2.25.0 以上 2.25.2 未満
* GeoTools 29 系 - 29.6 未満
* GeoTools 30 系 - 30.0 以上 30.4 未満
* GeoTools 31 系 - 31.0 以上 31.2 未満
◆解説
地理空間データ連携用のソフトウェアとして活用されている GeoServer とその関連ソフトウェアに、遠隔からの任意のコード実行につながる入力値検証不備の脆弱性が報告されています。
脆弱性は、GeoServer が呼び出す GeoTools ライブラリ API に存在します。当該 API では、XPath 形式の入力値を Java のコードとして実行するための JXPath に変換する機能を備えていますが、入力のプロパティ値の検証に不備があるため、攻撃者が XPath に混入した Java のコードを解釈して実行してしまいます。
◆対策
GeoServer の脆弱性の影響を受けないバージョンへのアップデートにより、当該脆弱性への対策が可能です。また、gt-complex-x.y.jar というファイルをサーバ上から削除する方法でも、対策が可能であると報告されています。当該ファイルは geoserver.war 内部に圧縮されている場合があるので注意してください。
◆関連情報
[1] GeoServer 公式
https://github.com/geoserver/geoserver/security/advisories/GHSA-6jj6-gm7p-fcvv
[2] GeoServer 公式
https://github.com/geotools/geotools/security/advisories/GHSA-w3pj-wh35-fq8w
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2024-36401
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-36401
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して対象ホストに対して任意のコマンド実行の指示を試みるエクスプロイトコードが公開されています。
GitHub - bigb0x/CVE-2024-36401
https://github.com/bigb0x/CVE-2024-36401/blob/main/cve-2024-36401.py
#--- で始まる行は執筆者によるコメントです。
