L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a annoncé lundi ajoutée une faille de sécurité critique affectant OSGeo GeoServer GeoTools en raison de ses vulnérabilités exploitées connues (KEV) catalogue, basé sur des preuves d’exploitation active.
GeoServer est un logiciels open source Serveur écrit en Java qui permet aux utilisateurs de partager et d’éditer des données géospatiales. Il s’agit de l’implémentation de référence des standards Web Feature Service (WFS) et Web Coverage Service (WCS) de l’Open Geospatial Consortium (OGC).
La vulnérabilité, suivie comme CVE-2024-36401 (Score CVSS : 9,8), concerne un cas d’exécution de code à distance qui pourrait être déclenchée par une entrée spécialement conçue.
« Plusieurs paramètres de requête OGC permettent l’exécution de code à distance (RCE) par des utilisateurs non authentifiés via une entrée spécialement conçue par rapport à une installation GeoServer par défaut en raison de l’évaluation non sécurisée des noms de propriété en tant qu’expressions XPath », selon un consultatif publié par les mainteneurs du projet plus tôt ce mois-ci.
La lacune a été adressé dans les versions 2.23.6, 2.24.4 et 2.25.2. Le chercheur en sécurité Steve Ikeoka a été crédité d’avoir signalé la faille.
On ne sait pas encore exactement comment la vulnérabilité est exploitée dans la nature. GeoServer a noté que le problème est « confirmé comme étant exploitable via les requêtes WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic et WPS Execute ».
Une autre faille critique a également été corrigée par les mainteneurs (CVE-2024-36404score CVSS : 9,8) qui pourrait également entraîner une RCE « si une application utilise certaines fonctionnalités de GeoTools pour évaluer les expressions XPath fournies par la saisie de l’utilisateur ». Ce problème a été résolu dans les versions 29.6, 30.4 et 31.2.
À la lumière de l’abus actif de CVE-2024-36401, les agences fédérales sont tenues d’appliquer les correctifs fournis par le fournisseur d’ici le 5 août 2024.
Cette évolution intervient alors que des rapports ont fait état de l’exploitation active d’une vulnérabilité d’exécution de code à distance dans la boîte à outils de conversion de documents Ghostscript (CVE-2024-29510) qui pourrait être utilisé pour échapper au bac à sable -dSAFER et exécuter du code arbitraire.
La vulnérabilité, corrigée dans la version 10.03.1 suite à une divulgation responsable par Codean Labs le 14 mars 2024, a depuis été utilisée comme arme pour obtenir un accès shell aux systèmes vulnérables, selon le développeur de ReadMe Bill Mill.