CISA는 CVE-2024-36401로 추적되는 중요한 GeoServer GeoTools 원격 코드 실행 결함이 공격에 적극적으로 악용되고 있다고 경고했습니다.
GeoServer는 사용자가 지리공간 데이터를 공유, 처리, 수정할 수 있는 오픈소스 서버입니다.
6월 30일, GeoServer는 GeoTools 플러그인에서 속성 이름을 XPath 표현식으로 안전하지 않게 평가하여 발생하는 심각도 9.8의 원격 코드 실행 취약점을 공개했습니다.
GeoServer가 호출하는 GeoTools 라이브러리 API는 피처 유형의 속성/속성 이름을 평가하여 이를 commons-jxpath 라이브러리에 안전하지 않게 전달하고, 이 라이브러리는 XPath 표현식을 평가할 때 임의의 코드를 실행할 수 있습니다.
“이 XPath 평가는 복잡한 기능 유형(예: 애플리케이션 스키마 데이터 저장소)에서만 사용하도록 의도되었지만 간단한 기능 유형에도 잘못 적용되어 이 취약점이 적용됩니다. 모두 GeoServer 인스턴스.”
당시에는 취약점이 적극적으로 악용되지 않았지만, 연구자들은 노출된 서버에서 원격 코드 실행, 역방향 셸 열기, 아웃바운드 연결 만들기, /tmp 폴더에 파일 만들기 등을 보여주는 개념 증명 악용 사례(1, 2, 3)를 빠르게 공개했습니다.
프로젝트 관리자는 GeoServer 버전 2.23.6, 2.24.4, 2.25.2의 결함을 패치하고 모든 사용자에게 이 릴리스로 업그레이드할 것을 권장했습니다.
개발자는 해결 방법도 제공하지만 GeoServer의 일부 기능을 손상시킬 수 있다고 경고합니다.
CVE-2024-36401 공격에 사용됨
어제, 미국 사이버 보안 및 인프라 보안 기관은 알려진 악용 취약점 카탈로그에 CVE-2024-36401을 추가하여 이 결함이 공격에 적극적으로 악용되고 있다고 경고했습니다. CISA는 이제 연방 기관이 2024년 8월 5일까지 서버에 패치를 적용하도록 요구합니다.
CISA는 결함이 어떻게 악용되고 있는지에 대한 정보를 제공하지 않았지만 위협 모니터링 서비스인 Shadowserver는 7월 9일부터 CVE-2024-36401이 활발하게 악용되고 있는 것을 관찰했다고 밝혔습니다.
OSINT 검색 엔진 ZoomEye에 따르면 약 16,462개의 GeoServer 서버가 온라인에 노출되어 있으며, 대부분은 미국, 중국, 루마니아, 독일, 프랑스에 위치해 있습니다.
해당 기관의 KEV 카탈로그는 주로 연방 기관을 대상으로 하지만, 민간 기관 GeoServer도 공격을 방지하기 위해 이 취약점을 패치하는 것을 우선시해야 합니다.
아직 패치를 적용하지 않은 사용자는 즉시 최신 버전으로 업그레이드하고, 시스템과 로그를 철저히 검토하여 잠재적인 침해 가능성을 확인해야 합니다.
