米CISA、新たな脆弱性 CVE-2024-36401 を「緊急パッチ要望」リストに追加

セキュリティブログ「Security Affairs」によると、アメリカのセキュリティ専担機関であるCISA（Cybersecurity and Infrastructure Security Agency、サイバーセキュリティ・社会基盤安全保障庁）が緊急パッチが求められる脆弱性のリストに新たな脆弱性を追加したそうです。その脆弱性は CVE-2024-36401 であり、CVSS基準で9.8点を記録するほど危ないOSGeo GeoServer GeoToolsから見つかったコードインジェクションの脆弱性です。攻撃者はこの脆弱性を通じてリモートコード実行攻撃を実行できるようになります。このため、CISAは連邦の全ての機関へ8月5日までアップデートを完了するよう命令をくだしました。

CVE-2024-36401 脆弱性はOSGeo GeoServer GeoTools 2.23.6～2.25.2バージョンで見つかっています。2.23.6、2.24.4、2.25バージョンを通じて脆弱性の攻撃を防げるようになります。CISAの脆弱性リストに含まれるということは、 CVE-2024-36401 が実質的な攻撃に悪用されているか、攻撃の試しが頻繁に発生しているという意味でもあります。このため、複数の企業・機関はこれを中心としてパッチを管理することもあります。

Security Affairsは、「すぐパッチすることが難しい場合はgt-complex-x.y.jarというファイルをGeoServerから削除することもある程度役に立つかもしれません。ここでxとyはGeoToolsバージョンの番号に当たります。」と加えました。