Une vulnérabilité critique de type RCE (Remote Code Execution) et impactant le logiciel libre GeoServer vient de voir le jour. Elle est identifiée sous la référence CVE-2024-36401 et obtient un score CVSS v3.1 de 9,8.
Il convient de porter une attention particulière à cette vulnérabilité, CVE-2024-36401, car des preuves de concept sont disponibles publiquement et facilement exploitable.
Le vecteur initial de la vulnérabilité Jenkins
La vulnérabilité permet à un attaquant non-authentifié de déclencher une exécution arbitraire de code sur le serveur GeoServer. Elle permet donc d’exécuter un reverse shell à distance, et de prendre le contrôle du serveur.
Les détails techniques de la vulnérabilité Jenkins
L’API sous-jacent de GeoServer n’opère pas de vérification de sécurité sur les valeurs de certains paramètres, ce qui peut conduire à une interprétation de code java envoyé par requête HTTP. Ce code héritera du contexte d’exécution du serveur GeoServer.
La modélisation de l'attaque avec MITRE ATT&CK
MITRE ATT&CK
- T1190 (Exploit Public-Facing Application)
Les moyens de protections avec Stormshield Network Security face à la vulnérabilité Jenkins
Protection face à la CVE-2024-36401
Les firewalls Stormshield Network Security (SNS) détectent et bloquent par défaut l’exploitation de la CVE-2024-36401 via la signature :
- http:client.102 : Exploitation d'une exécution de commande à distance dans GeoServer (CVE-2024-36401)
Indice de confiance de la protection proposée par Stormshield |
Indice de confiance de l’absence de faux positif |
Recommandations face à la vulnérabilité Jenkins
Il est ainsi fortement recommandé de mettre à jour l’applicatif GeoServer vers une des versions suivantes :
- 24.4
- 25.2
- 23.6
La désactivation du service WFS permet également de se protéger contre cette exploitation de vulnérabilité CVE-2024-36401.
