A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou na segunda-feira uma falha crítica de segurança que afeta o OSGeo GeoServer GeoTools ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com base em evidências de exploração ativa.
GeoServer é um servidor de software program de código aberto escrito em Java que permite aos usuários compartilhar e editar dados geoespaciais. É a implementação de referência dos padrões Net Function Service (WFS) e Net Protection Service (WCS) do Open Geospatial Consortium (OGC).
A vulnerabilidade, rastreada como CVE-2024-36401 (pontuação CVSS: 9,8), diz respeito a um caso de execução remota de código que pode ser acionado por meio de uma entrada especialmente criada.
“Vários parâmetros de solicitação OGC permitem a Execução Remota de Código (RCE) por usuários não autenticados por meio de entradas especialmente criadas em uma instalação padrão do GeoServer devido à avaliação insegura de nomes de propriedades como expressões XPath”, de acordo com um aviso divulgado pelos mantenedores do projeto no início deste mês.
A deficiência foi corrigida nas versões 2.23.6, 2.24.4 e 2.25.2. O pesquisador de segurança Steve Ikeoka foi creditado por relatar a falha.
Atualmente, não está claro como a vulnerabilidade está sendo explorada na natureza. O GeoServer observou que o problema é “confirmado como explorável por meio de solicitações WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic e WPS Execute”.
Também foi corrigida pelos mantenedores outra falha crítica (CVE-2024-36404, pontuação CVSS: 9,8) que também pode resultar em RCE “se um aplicativo usar determinada funcionalidade do GeoTools para avaliar expressões XPath fornecidas pela entrada do usuário”. Ela foi resolvida nas versões 29.6, 30.4 e 31.2.
Em vista do abuso ativo do CVE-2024-36401, as agências federais são obrigadas a aplicar as correções fornecidas pelo fornecedor até 5 de agosto de 2024.
O desenvolvimento ocorre no momento em que surgem relatórios sobre a exploração ativa de uma vulnerabilidade de execução remota de código no package de ferramentas de conversão de documentos Ghostscript (CVE-2024-29510), que poderia ser aproveitada para escapar da sandbox -dSAFER e executar código arbitrário.
A vulnerabilidade, corrigida na versão 10.03.1 após divulgação responsável pela Codean Labs em 14 de março de 2024, foi transformada em arma para obter acesso de shell a sistemas vulneráveis, de acordo com o desenvolvedor do ReadMe, Invoice Mill.
