La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha ordenado a las agencias del gobierno federal que parcheen una vulnerabilidad crítica en un popular servidor de código abierto que está siendo explotado activamente en la naturaleza. CISA agregó CVE-2024-36401 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) a principios de esta semana, ordenando a las agencias que apliquen el parche antes del 5 de agosto. La vulnerabilidad de ejecución de código remoto (RCE) se encuentra en el complemento GeoTools de GeoServer, un servidor de código abierto escrito en Java que permite a los usuarios compartir, procesar y editar datos geoespaciales. «OSGeo GeoServer GeoTools contiene una vulnerabilidad de neutralización incorrecta de directivas en código evaluado dinámicamente debido a la evaluación insegura de nombres de propiedad como expresiones XPath», dijo CISA. «Esto permite a los atacantes no autenticados realizar una ejecución de código remoto a través de una entrada especialmente diseñada». Lea más sobre las vulnerabilidades de código abierto: Apache advierte sobre una vulnerabilidad crítica en Struts 2 Si bien no está claro quién está explotando la vulnerabilidad y cómo, los mantenedores de GeoServer la parchearon en las versiones 2.23.6, 2.24.4 y 2.25.2, a las que se insta a los usuarios a actualizar. También ofrecieron soluciones alternativas para eliminar el código vulnerable de GeoServer, pero advirtieron que «pueden romper alguna funcionalidad de GeoServer o evitar que GeoServer se implemente si una extensión que está utilizando necesita el módulo gt-complex». En ese momento, los mantenedores afirmaron: «No se proporciona ninguna PoC pública, pero se ha confirmado que esta vulnerabilidad se puede explotar a través de solicitudes WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic y WPS Execute». Sin embargo, el código de prueba de concepto pronto comenzó a circular en línea, hace aproximadamente quince días. La organización sin fines de lucro Shadowserver Foundation afirmó en una publicación en las redes sociales haber observado por primera vez signos de explotación de CVE-2024-36401 el 9 de julio. Instó a los usuarios a «verificar si hay signos de compromiso y aplicar parches». CISA agregó GeoServer CVE-2024-36401 a su Catálogo de vulnerabilidades explotadas conocidas https://t.co/0jvga7TBFrObservamos por primera vez la explotación de CVE-2024-36401 «POST /geoserver/wfs» el 9 de julio en nuestros sensores. Verifique si hay signos de compromiso y aplique parches https://t.co/CTcIZzwtsI— The Shadowserver Foundation (@Shadowserver) 16 de julio de 2024 Si bien todas las agencias del gobierno federal civil deben cumplir con la fecha límite del catálogo KEV de CISA, se recomienda que las empresas privadas sigan su ejemplo.