Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) ενημέρωσε τη Δευτέρα για κρίσιμες ευπάθειες που επηρεάζουν το OSGeo GeoServer GeoTools.
Ο GeoServer είναι ένας open-source server γραμμένος σε Java, που επιτρέπει στους χρήστες να μοιράζονται και να επεξεργάζονται γεωχωρικά δεδομένα. Αποτελεί την αναφορά για την υλοποίηση των προτύπων του Open Geospatial Consortium (OGC) για την υπηρεσία Web Feature Service (WFS) και την υπηρεσία Web Coverage Service (WCS).
Δείτε περισσότερα: Το SEXi ransomware μετονομάζεται σε APT INC – Επιθέσεις σε VMware ESXi servers
Η ευπάθεια, γνωστή ως CVE-2024-36401 (με βαθμολογία CVSS: 9,8), αφορά μια περίπτωση απομακρυσμένης εκτέλεσης κώδικα που μπορεί να ενεργοποιηθεί μέσω ειδικά διαμορφωμένου input.
Mark Zuckerberg: Ο δεύτερος πλουσιότερος άνθρωπος
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
“Πολλά αιτήματα OGC επιτρέπουν σε μη εξουσιοδοτημένους χρήστες να εκτελούν Απομακρυσμένη Εκτέλεση Κώδικα (RCE) μέσω ειδικά διαμορφωμένου input σε μια εγκατάσταση GeoServer, λόγω μη ασφαλούς αξιολόγησης των ονομάτων ιδιοτήτων ως εκφράσεων XPath,” σύμφωνα με μια ανακοίνωση που δημοσίευσαν οι συντηρητές του έργου νωρίτερα αυτό τον μήνα.
Η ευπάθεια έχει διορθωθεί στις εκδόσεις 2.23.6, 2.24.4 και 2.25.2, ενώ ο ερευνητής ασφαλείας Steve Ikeoka φαίνεται να ανέφερε το ελάττωμα.
Δεν έχει γίνει σαφές πώς οι χάκερς εκμεταλλεύονταν τη συγκεκριμένη ευπάθεια. Ο GeoServer επιβεβαίωσε ότι το πρόβλημα μπορεί να εκμεταλλευτεί μέσω αιτημάτων WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic και WPS Execute.
Επίσης διορθώθηκε άλλο ένα κρίσιμο ελάττωμα (CVE-2024-36404, βαθμολογία CVSS: 9,8), το οποίο θα μπορούσε να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα (RCE) “αν μια εφαρμογή χρησιμοποιεί συγκεκριμένες λειτουργίες του GeoTools για την αξιολόγηση των εκφράσεων XPath που παρέχονται από την είσοδο του χρήστη.” Το πρόβλημα επιλύθηκε στις εκδόσεις 29.6, 30.4 και 31.2.
Λαμβάνοντας υπόψη την ενεργή εκμετάλλευση του CVE-2024-36401, οι ομοσπονδιακές υπηρεσίες οφείλουν να εφαρμόσουν τις διορθώσεις που παρέχονται από τον προμηθευτή έως τις 5 Αυγούστου 2024.
Διαβάστε ακόμη: Exim: Κρίσιμη ευπάθεια εκθέτει χιλιάδες χρήστες σε κίνδυνο
Έχουν αναφερθεί περιπτώσεις ενεργής εκμετάλλευσης μιας ευπάθειας για απομακρυσμένη εκτέλεση κώδικα στο εργαλείο μετατροπής εγγράφων Ghostscript (CVE-2024-29510), η οποία θα μπορούσε να αξιοποιηθεί για να παρακάμψει το sandbox -dSAFER και να επιτρέψει την εκτέλεση αυθαίρετου κώδικα.
Η ευπάθεια, η οποία επιδιορθώθηκε στην έκδοση 10.03.1 μετά από υπεύθυνη αποκάλυψη από την Codean Labs στις 14 Μαρτίου 2024, έχει από τότε αξιοποιηθεί για την απόκτηση shell πρόσβασης σε ευάλωτα συστήματα, σύμφωνα με τον προγραμματιστή του ReadMe Bill Mill.
Πηγή: thehackernews