2024-10-13 23:20 (일)
CISA, 지오서버 지오툴 플러그인에 심각한 원격 코드 실행 취약점 경고
상태바
CISA, 지오서버 지오툴 플러그인에 심각한 원격 코드 실행 취약점 경고
  • 길민권 기자
  • 승인 2024.07.17 12:30
이 기사를 공유합니다

최근 미국 사이버보안 및 인프라 보안국(CISA)이 GeoServer의 GeoTools 플러그인에서 발견된 심각한 원격 코드 실행(RCE) 취약점인 CVE-2024-36401에 대해 경고했다. 이 취약점은 현재 공격에 적극적으로 악용되고 있다.

GeoServer는 사용자가 지리 공간 데이터를 공유, 처리 및 수정할 수 있도록 하는 오픈 소스 서버로, 2024년 6월 30일에 이 취약점을 공개했다. 문제는 GeoTools 라이브러리 API가 속성 이름을 XPath 표현식으로 안전하지 않게 평가하면서 발생한다. 이를 통해 공격자는 commons-jxpath 라이브러리에 이러한 이름을 전달하여 임의의 코드를 실행할 수 있게 된다.

처음에는 활성화된 공격이 없었지만, 연구자들이 곧 원격 코드 실행을 시연하는 개념 증명(Proof of Concept) 익스플로잇을 공개했다. 이러한 익스플로잇은 노출된 서버에서 원격 셸을 열거나, 파일을 생성하거나, 아웃바운드 연결을 할 수 있다.

GeoServer 개발자는 이후 2.23.6, 2.24.4 및 2.25.2 버전에서 이 취약점을 패치했으며, 모든 사용자가 즉시 이러한 버전으로 업그레이드할 것을 강력히 권장했다. 또한, 기능에 영향을 미칠 수 있는 대체 해결책도 제공했다.

7월 16일, CISA는 CVE-2024-36401을 알려진 악용 취약점 목록에 추가하고, 연방 기관에 2024년 8월 5일까지 취약점을 패치할 것을 요구했다. CISA는 구체적인 악용 방법을 제공하지 않았지만, 위협 모니터링 서비스인 새도우서버는 7월 9일부터 이 취약점이 적극적으로 악용되고 있다고 보고했다.

오픈소스 인텔리전스(OSINT) 검색 엔진인 줌아이에 따르면 약 16,462개의 GeoServer 인스턴스가 온라인에 노출되어 있으며, 대부분이 미국, 중국, 루마니아, 독일 및 프랑스에 위치하고 있다. GeoServer를 사용하는 민간 조직도 이 취약점을 우선적으로 패치하여 잠재적인 공격을 방지해야 한다.

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★