This post is also available in: Português Español
Recientemente, se identificaron vulnerabilidades importantísimas, de ejecución remota de código (RCE) en GeoServer y GeoTools, clasificadas como CVE-2024-36401 y CVE-2024-36404. Estas vulnerabilidades tienen una puntuación de gravedad CVSS de 9,8, lo que indica un impacto potencialmente alto.
¿Qué son GeoServer y GeoTools?
GeoServer es una plataforma de código abierto que se utiliza para compartir, procesar y editar datos geoespaciales. GeoTools es una biblioteca que proporciona herramientas para manipular datos geoespaciales.
Estas herramientas son ampliamente utilizadas en apps cartográficas y SIG (Sistemas de Información Geográfica), incluidos proyectos ambientales, urbanos y agrícolas, además de ser implementadas en diversos sectores industriales y gubernamentales en Brasil y a nivel mundial. Como por ejemplo: empresas de tecnología, como Google y Esri, que utilizan estas herramientas en sus mapas y soluciones de datos geoespaciales.
El INPE, el Portal de Datos Geoespaciales del IBGE, el Monitoreo de Presas de la Agencia Nacional de Aguas (ANA), el Proyecto MapBiomas, en Brasil, y el Servicio Geológico de Estados Unidos (USGS), en Estados Unidos, son también algunos de los ejemplos que emplean estas herramientas para la investigación ambiental y gestión de recursos naturales.
CVE-2024-36401 y CVE-2024-36404
Las vulnerabilidades CVE-2024-36401 y CVE-2024-36404 permiten que atacantes no autenticados ejecuten código arbitrario en servidores vulnerables. El problema surge del complemento GeoTools, que evalúa de manera insegura los nombres de propiedades como expresiones XPath, lo que genera la posibilidad de ejecución de código arbitrario. Específicamente, la API de la biblioteca GeoTools evalúa los nombres de propiedades/atributos de una manera que puede explotarse a través de la biblioteca commons-jxpath.
CVE-2024-36401 ocurre debido a una validación de entrada insuficiente en expresiones XPath en GeoServer. Los atacantes pueden enviar expresiones maliciosas que son interpretadas por el servidor, permitiendo la ejecución de comandos arbitrarios.
CVE-2024-36404 afecta a la biblioteca GeoTools, utilizada por GeoServer. La falta de una validación adecuada permite que se ejecuten expresiones XPath inyectadas, comprometiendo el servidor.
Impacto y gravedad
Con una puntuación CVSS de 9,8, estas vulnerabilidades se consideran críticas.
Aunque inicialmente no se explotó, los investigadores rápidamente publicaron exploits de prueba de concepto que demostraban el potencial de la falla. Estos exploits podrían permitir la ejecución remota de código en servidores expuestos, permitir aperturas inversas del shell, realizar conexiones salientes o crear archivos en la carpeta /tmp.
Mitigación y corrección
La recomendación inmediata es actualizar GeoServer y GeoTools a las versiones parcheadas:
- GeoServer: Actualización a las versiones 2.23.6, 2.24.4 o 2.25.2.
- GeoTools: Actualización a las versiones 29.6, 30.4 o 31.2.
Conclusión
Las vulnerabilidades CVE-2024-36401 y CVE-2024-36404 resaltan la importancia de la seguridad en la gestión de plataformas geoespaciales. El impacto potencial de estas fallas en las empresas, industrias y agencias gubernamentales que dependen de GeoServer y GeoTools es significativo.
Con el uso cada vez mayor de datos geoespaciales en una variedad de aplicaciones críticas, garantizar un entorno seguro es esencial para evitar interrupciones y daños considerables. Actualizar rápidamente las versiones afectadas e implementar medidas de mitigación es fundamental para proteger los sistemas contra amenazas reales y crecientes.
This post is also available in: Português Español