تحذير عاجل: ثغرة خطيرة تهدد أمن بيانات GeoServer
GeoServer هو برمجيات مفتوحة المصدر خادم مكتوب بلغة Java يسمح للمستخدمين بمشاركة البيانات الجغرافية المكانية وتحريرها. إنه التنفيذ المرجعي لمعايير خدمة ميزات الويب (WFS) والاتحاد الجغرافي المكاني المفتوح (OGC) وخدمة تغطية الويب (WCS).
متابعه مكسي نيوز
تحذير عاجل….وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) يوم الاثنين وأضاف ثغرة أمنية خطيرة تؤثر على OSGeo GeoServer GeoTools ونقاط الضعف المستغلة المعروفة (كيف) الكتالوج، بناءً على أدلة الاستغلال النشط.
GeoServer هو برمجيات مفتوحة المصدر خادم مكتوب بلغة Java يسمح للمستخدمين بمشاركة البيانات الجغرافية المكانية وتحريرها. إنه التنفيذ المرجعي لمعايير خدمة ميزات الويب (WFS) والاتحاد الجغرافي المكاني المفتوح (OGC) وخدمة تغطية الويب (WCS).
الثغرة الأمنية، تعقبها CVE-2024-36401 (درجة CVSS: 9.8)، تتعلق بحالة تنفيذ تعليمات برمجية عن بعد والتي يمكن تشغيلها من خلال إدخال معد خصيصًا.
“تسمح معلمات طلب OGC المتعددة بتنفيذ التعليمات البرمجية عن بعد (RCE) بواسطة مستخدمين غير مصادقين من خلال إدخال معد خصيصًا مقابل تثبيت GeoServer الافتراضي بسبب التقييم غير الآمن لأسماء الخصائص كتعبيرات XPath،” وفقًا لـ استشاري صدر عن القائمين على المشروع في وقت سابق من هذا الشهر.
لقد كان النقص موجهة في الإصدارات 2.23.6 و2.24.4 و2.25.2. يعود الفضل للباحث الأمني ستيف إيكوكا في الإبلاغ عن الخلل.
ليس من الواضح حاليًا كيف يتم استغلال الثغرة الأمنية، ولكن مؤسسة Shadowserver قال لقد اكتشفت محاولات استغلال ضد مستشعرات مصيدة الجذب الخاصة بها منذ 9 يوليو 2024.
لاحظت GeoServer أن المشكلة “تم التأكد من إمكانية استغلالها من خلال طلبات WFS GetFeature وWFS GetPropertyValue وWMS GetMap وWMS GetFeatureInfo وWMS GetLegendGraphic وWPS Execute.”
يعد التصحيح أيضًا بواسطة المشرفين عيبًا خطيرًا آخر (CVE-2024-36404، درجة CVSS: 9.8) والتي قد تؤدي أيضًا إلى RCE “إذا كان التطبيق يستخدم وظائف GeoTools معينة لتقييم تعبيرات XPath التي يوفرها إدخال المستخدم.” وقد تم حلها في الإصدارات 29.6 و30.4 و31.2.
في ضوء إساءة الاستخدام النشطة لـ CVE-2024-36401، يُطلب من الوكالات الفيدرالية تطبيق الإصلاحات المقدمة من البائع بحلول 5 أغسطس 2024.
ويأتي هذا التطوير مع ظهور تقارير حول الاستغلال النشط لثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في مجموعة أدوات تحويل المستندات Ghostscript (CVE-2024-29510) التي يمكن الاستفادة منها الهروب من وضع الحماية -dSAFER وتشغيل التعليمات البرمجية التعسفية.
تم التعامل مع الثغرة الأمنية في الإصدار 10.03.1 بعد الكشف المسؤول من قبل Codean Labs في 14 مارس 2024، ومنذ ذلك الحين تم استغلالها كسلاح للحصول على وصول shell إلى الأنظمة الضعيفة، وفقًا لمطور ReadMe بيل ميل.