CISA memperingatkan bahwa kelemahan eksekusi kode jarak jauh GeoServer GeoTools yang kritis yang dilacak sebagai CVE-2024-36401 sedang dieksploitasi secara aktif dalam serangan.
GeoServer adalah server sumber terbuka yang memungkinkan pengguna untuk berbagi, memproses, dan memodifikasi data geospasial.
Pada tanggal 30 Juni, GeoServer mengungkapkan kerentanan eksekusi kode jarak jauh tingkat keparahan 9,8 yang kritis dalam plugin GeoTools yang disebabkan oleh evaluasi nama properti secara tidak aman sebagai ekspresi XPath.
“API pustaka GeoTools yang dipanggil GeoServer mengevaluasi nama properti/atribut untuk tipe fitur dengan cara yang tidak aman yang meneruskannya ke pustaka commons-jxpath yang dapat mengeksekusi kode sembarangan saat mengevaluasi ekspresi XPath,” tulis Penasihat GeoServer.
“Evaluasi XPath ini dimaksudkan untuk digunakan hanya oleh tipe fitur kompleks (misalnya, penyimpanan data Skema Aplikasi) tetapi secara tidak benar diterapkan pada tipe fitur sederhana juga yang membuat kerentanan ini berlaku untuk SEMUA “Instans GeoServer.”
Meskipun kerentanan tersebut tidak dieksploitasi secara aktif pada saat itu, para peneliti dengan cepat merilis bukti konsep eksploitasi[[1Bahasa Indonesia: 2Bahasa Indonesia: 3]yang mendemonstrasikan cara melakukan eksekusi kode jarak jauh pada server yang terekspos dan membuka reverse shell, membuat koneksi keluar, atau membuat file di folder /tmp.
Pengelola proyek menambal kelemahan pada GeoServer versi 2.23.6, 2.24.4, dan 2.25.2 dan menyarankan agar semua pengguna memperbarui ke rilis ini.
Pengembang juga menawarkan solusi namun memperingatkan bahwa solusi tersebut dapat merusak beberapa fungsi GeoServer.
CVE-2024-36401 digunakan dalam serangan
Kemarin, Badan Keamanan Siber dan Infrastruktur AS menambahkan CVE-2024-36401 ke dalam Katalog Kerentanan yang Diketahui Telah Dieksploitasimemperingatkan bahwa kelemahan tersebut sedang dieksploitasi secara aktif dalam serangan. CISA sekarang mengharuskan lembaga federal untuk menambal server paling lambat tanggal 5 Agustus 2024.
Meskipun CISA tidak memberikan informasi apa pun tentang bagaimana kelemahan tersebut dieksploitasi, layanan pemantauan ancaman Shadowserver mengatakan mereka mengamati CVE-2024-36401 dieksploitasi secara aktif mulai tanggal 9 Juli.
Mesin pencari OSINT ZoomEye mengatakan bahwa sekitar 16.462 server GeoServer terekspos daring, sebagian besar berlokasi di AS, China, Rumania, Jerman, dan Prancis.
Meskipun katalog KEV agensi tersebut terutama menargetkan agensi federal, organisasi swasta GeoServer juga harus memprioritaskan menambal kerentanan ini untuk mencegah serangan.
Mereka yang belum melakukan patch harus segera memperbarui ke versi terbaru dan memeriksa sistem dan log secara menyeluruh untuk kemungkinan adanya penyusupan.
