È stata scoperta una vulnerabilità critica in GeoServer, identificata come CVE-2024-36401. Questa falla di sicurezza permette l’esecuzione di codice remoto (RCE) da parte di utenti non autenticati, mettendo a rischio numerosi sistemi che utilizzano questa piattaforma.
GeoServer è un server software open source creato in Java che consente agli utenti di condividere e gestire dati geospaziali.
Dettagli della vulnerabilità
La vulnerabilità con punteggio CVSS: 9,8 interessa le versioni di GeoServer precedenti alla 2.23.6, 2.24.4 e 2.25.2. Gli attori delle minacce possono sfruttare questa falla attraverso input appositamente creati, consentendo loro di eseguire codice malevolo sui server vulnerabili.
Impatto e sfruttamento
Secondo il rapporto FortiGuard Labs gli attori delle minacce stanno attivamente sfruttando questa vulnerabilità per distribuire malware, inclusi i backdoor GOREVERSE e SideWalk. Questi malware permettono agli attaccanti di ottenere accesso non autorizzato ai sistemi compromessi, esfiltrare dati sensibili e potenzialmente causare danni significativi.
“Gli obiettivi primari sembrano essere distribuiti in tre regioni principali: Sud America, Europa e Asia. Questa distribuzione geografica suggerisce una campagna di attacco sofisticata e di vasta portata, che potenzialmente sfrutta vulnerabilità comuni a questi mercati diversi o prende di mira settori specifici prevalenti in queste aree.“
Misure di mitigazione
È fondamentale che le organizzazioni che utilizzano GeoServer aggiornino immediatamente alle versioni più recenti (2.23.6, 2.24.4, 2.25.2) per mitigare questo rischio. Inoltre, è consigliabile implementare misure di sicurezza aggiuntive, come il monitoraggio continuo delle attività di rete e l’adozione di pratiche di sicurezza informatica robuste.
La CISA (Cybersecurity and Infrastructure Security Agency) ha aggiunto dal 15 luglio 2024 la vulnerabilità al suo catalogo Known Exploited Vulnerabilities (KEV).