This post is also available in: Português
Recentemente, foram identificadas vulnerabilidades críticas de execução remota de código (RCE) nas ferramentas GeoServer e GeoTools, classificadas como CVE-2024-36401 e CVE-2024-36404. Essas vulnerabilidades possuem pontuação de gravidade CVSS de 9.8, indicando um impacto potencialmente alto.
O que são GeoServer e GeoTools?
GeoServer é uma plataforma de código aberto usada para compartilhar, processar e editar dados geoespaciais. GeoTools é uma biblioteca que fornece ferramentas para manipulação de dados geoespaciais.
Essas ferramentas são amplamente utilizadas em aplicações de mapeamento e SIG (Sistemas de Informação Geográfica), incluindo projetos ambientais, urbanos e agrícolas, além de serem implementadas em diversos setores industriais e governamentais no Brasil e globalmente. Tais como: empresas de tecnologia, como Google e Esri, que utilizam essas ferramentas em suas soluções de mapas e dados geoespaciais.
O INPE, Portal de Dados Geoespaciais do IBGE, Monitoramento de Barragens pela Agência Nacional de Águas (ANA), Projeto MapBiomas, no Brasil, e o US Geological Survey (USGS), nos EUA, também são alguns dos exemplos que empregam essas ferramentas para pesquisas ambientais e gerenciamento de recursos naturais.
CVE-2024-36401 e CVE-2024-36404
As vulnerabilidades CVE-2024-36401 e CVE-2024-36404 permitem que atacantes não autenticados executem código arbitrário em servidores vulneráveis. O problema decorre do plugin GeoTools, que avalia de forma insegura nomes de propriedades como expressões XPath, levando ao potencial de execução de código arbitrário. Especificamente, a API da biblioteca GeoTools avalia nomes de propriedades/atributos de uma maneira que pode ser explorada por meio da biblioteca commons-jxpath.
A CVE-2024-36401 ocorre devido à insuficiente validação de entrada em expressões XPath no GeoServer. Atacantes podem enviar expressões maliciosas que são interpretadas pelo servidor, permitindo a execução de comandos arbitrários.
Já a CVE-2024-36404 afeta a biblioteca GeoTools, usada pelo GeoServer. A falta de validação adequada permite que expressões XPath injetadas sejam executadas, comprometendo o servidor.
Impacto e gravidade
Com uma pontuação CVSS de 9.8, essas vulnerabilidades são consideradas críticas.
Embora inicialmente não explorado, os pesquisadores rapidamente lançaram exploits de prova de conceito demonstrando o potencial da falha. Esses exploits poderiam habilitar a execução remota de código em servidores expostos, permitir aberturas de shell reversas, fazer conexões de saída ou criar arquivos na pasta /tmp.
Mitigação e correção
A recomendação imediata é atualizar o GeoServer e o GeoTools para as versões corrigidas:
- GeoServer: Atualizar para as versões 2.23.6, 2.24.4 ou 2.25.2.
- GeoTools: Atualizar para as versões 29.6, 30.4 ou 31.2.
Considerações Finais
As vulnerabilidades CVE-2024-36401 e CVE-2024-36404 ressaltam a importância da segurança na gestão de plataformas geoespaciais. O impacto potencial dessas falhas em empresas, indústrias de e órgãos governamentais que dependem do GeoServer e GeoTools é significativo.
Com o uso crescente de dados geoespaciais em diversas aplicações críticas, garantir um ambiente seguro é essencial para evitar interrupções e danos consideráveis. A atualização imediata das versões afetadas e a implementação de medidas de mitigação são fundamentais para proteger os sistemas contra ameaças reais e crescentes.
This post is also available in: Português
