Lỗ hổng mới này có định danh là CVE-2024-36401 (điểm CVSS: 9,8) và nằm trong thành phần GeoTools của GeoServer, đây là một phần mềm nguồn mở được sử dụng để chia sẻ dữ liệu không gian địa lý.
Được biết, lỗ hổng này xảy ra do việc đánh giá tên thuộc tính dưới dạng biểu thức Xpath không an toàn nên gây ra hiện tượng vô hiệu hóa không chính xác các lệnh trong mã được đánh giá động. Và, điều này cho phép hacker tấn công tiêm mã độc sẽ được máy chủ thực thi.
Ngoài ra, lỗ hổng này có liên quan đến trường hợp thực thi mã từ xa có thể được kích hoạt thông qua dữ liệu đầu vào độc hại.
Các nhà bảo trì dự án cho biết, nhiều tham số yêu cầu OGC cho phép thực thi mã từ xa (RCE) mà không yêu cầu xác thực đối với bản cài đặt mặc định của GeoServer do việc đánh giá các tên thuộc tính theo cách không an toàn.
Người báo cáo lỗ hổng được ghi nhận là nhà nghiên cứu bảo mật Steve Ikeoka. Trên thực tế, vẫn chưa rõ lỗ hổng này đang bị khai thác như thế nào nhưng Shadowserver Foundation (tổ chức bảo mật phi lợi nhuận thu thập và phân tích dữ liệu về hoạt động Internet độc hại) tiết lộ, họ đã phát hiện các hoạt động khai thác đối với hệ thống honeypot từ 9/7/2024.
Bên cạnh đó, GeoServer lưu ý rằng lỗ hổng được xác định là có thể khai thác thông qua các yêu cầu WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic và WPS".
Thêm nữa, các nhà bảo trì đã tiến hành vá một lỗ hổng nghiêm trọng khác là CVE-2024-36404, điểm CVSS: 9,8 và có thể dẫn đến RCE nếu một ứng dụng sử dụng chức năng GeoTools để đánh giá các biểu thức Xpath do người dùng cung cấp.
Trước tình hình diễn biến phức tạp và ngày càng nhiều lỗ hổng bị khai thác trên thực tế, các cơ quan liên bang được yêu cầu phải áp dụng các bản sửa lỗi do nhà cung cấp phát hành trước ngày 5/8/2024. Cụ thể:
1. Thực hiện các biện pháp để giảm thiểu rủi ro như làm theo hướng dẫn do nhà phát triển GeoServe cung cấp.
2. Trường hợp không có hoặc không thể áp dụng các biện pháp giảm thiểu, CISA khuyến nghị người dùng nên ngừng sử dụng GeoServer
3. Ngoài ra, CISA luôn duy trì một danh mục các lỗ hổng bị khai thác đã biết (KEV) và khuyên các tổ chức nên sử dụng làm tài liệu tham khảo để ưu tiên quản lý lỗ hổng của mình. Dù rằng trên thực tế, lỗ hổng này chưa được báo cáo là sẽ được sử dụng trong các chiến dịch ransomware nhưng không thể chủ quan về mức độ nghiêm trọng và việc đề cao cảnh giác cũng như chuẩn bị những phương án ứng phó nhanh chóng là việc làm hết sức cần thiết.
