최근 미국 사이버보안 및 인프라 보안국(CISA)이 GeoServer의 GeoTools 플러그인에서 발견된 심각한 원격 코드 실행(RCE) 취약점인 CVE-2024-36401에 대해 경고했다. 이 취약점은 현재 공격에 적극적으로 악용되고 있다.
GeoServer는 사용자가 지리 공간 데이터를 공유, 처리 및 수정할 수 있도록 하는 오픈 소스 서버로, 2024년 6월 30일에 이 취약점을 공개했다. 문제는 GeoTools 라이브러리 API가 속성 이름을 XPath 표현식으로 안전하지 않게 평가하면서 발생한다. 이를 통해 공격자는 commons-jxpath 라이브러리에 이러한 이름을 전달하여 임의의 코드를 실행할 수 있게 된다.
처음에는 활성화된 공격이 없었지만, 연구자들이 곧 원격 코드 실행을 시연하는 개념 증명(Proof of Concept) 익스플로잇을 공개했다. 이러한 익스플로잇은 노출된 서버에서 원격 셸을 열거나, 파일을 생성하거나, 아웃바운드 연결을 할 수 있다.
GeoServer 개발자는 이후 2.23.6, 2.24.4 및 2.25.2 버전에서 이 취약점을 패치했으며, 모든 사용자가 즉시 이러한 버전으로 업그레이드할 것을 강력히 권장했다. 또한, 기능에 영향을 미칠 수 있는 대체 해결책도 제공했다.
7월 16일, CISA는 CVE-2024-36401을 알려진 악용 취약점 목록에 추가하고, 연방 기관에 2024년 8월 5일까지 취약점을 패치할 것을 요구했다. CISA는 구체적인 악용 방법을 제공하지 않았지만, 위협 모니터링 서비스인 새도우서버는 7월 9일부터 이 취약점이 적극적으로 악용되고 있다고 보고했다.
오픈소스 인텔리전스(OSINT) 검색 엔진인 줌아이에 따르면 약 16,462개의 GeoServer 인스턴스가 온라인에 노출되어 있으며, 대부분이 미국, 중국, 루마니아, 독일 및 프랑스에 위치하고 있다. GeoServer를 사용하는 민간 조직도 이 취약점을 우선적으로 패치하여 잠재적인 공격을 방지해야 한다.