Уязвимость в GeoServer активно эксплуатируется: CISA предупреждает об угрозе данным геопространственных систем

Агентство кибербезопасности и инфраструктурной безопасности США (CISA) официально подтвердило активную эксплуатацию в реальных атаках критической уязвимости в популярном геопространственном сервере OSGeo GeoServer. Соответствующая запись была добавлена в каталог Known Exploited Vulnerabilities (KEV) - известных эксплуатируемых уязвимостей. Это означает, что угроза представляет собой непосредственную опасность, и администраторам необходимо принять срочные меры по устранению проблемы.

Детали уязвимости

Уязвимость, получившая идентификатор CVE-2025-58360, классифицируется как XML External Entity (XXE). По сути, это уязвимость неправильного ограничения внешних XML-сущностей. Она затрагивает GeoServer, широко используемое открытое программное обеспечение для публикации и совместного использования геоданных через стандартные сервисы, такие как Web Map Service (WMS). Платформа распространена в государственных учреждениях, исследовательских институтах и коммерческих организациях, что потенциально делает масштаб воздействия значительным.

Технически проблема заключается в недостаточной валидации и санации XML-ввода на определённом эндпоинте сервера. А именно, уязвимый путь "/geoserver/wms" при обработке операции GetMap некорректно обрабатывает специально сформированные XML-запросы. Следовательно, злоумышленник может внедрить в такой запрос определение внешней сущности. В результате атака может привести к нескольким негативным последствиям. Во-первых, возможен несанкционированный доступ к чувствительным файлам на сервере. Во-вторых, уязвимость позволяет проводить атаки типа Server-Side Request Forgery (SSRF), когда сервер вынужден выполнять запросы к внутренним ресурсам сети. В-третьих, возможна организация атак на отказ в обслуживании.

Серьёзность угрозы подчёркивается высоким баллом по шкале CVSS (Common Vulnerability Scoring System). Уязвимость получила оценку 8.2, что соответствует высокому уровню опасности. Вектор атаки характеризуется как сетевой, не требующий специальных условий эксплуатации или привилегий, а также не предполагающий взаимодействия с пользователем.

Затронутыми являются версии GeoServer начиная с 2.26.0 и до 2.26.2, а также все версии ниже 2.25.6. Разработчики уже выпустили исправления. Проблема устранена в версиях 2.25.6, 2.26.3 и 2.27.0. Таким образом, администраторам настоятельно рекомендуется как можно скорее обновить свои развёртывания до одной из этих защищённых сборок.

Эксперты по безопасности отмечают, что эксплойты для данной уязвимости относительно просты в создании, поскольку методики XXE-атак хорошо документированы. Более того, атака не требует аутентификации, что делает любое обращённое к интернету приложение GeoServer лёгкой мишенью для автоматического сканирования и эксплуатации. В связи с этим ожидается волна попыток взлома, особенно в отношении систем, для которых ещё не установлены заплатки.

Если немедленное обновление невозможно, специалисты рекомендуют временные меры смягчения рисков. Например, можно ограничить сетевой доступ к уязвимому эндпоинту "/geoserver/wms", настроив правила межсетевого экрана или списки контроля доступа. Параллельно необходимо усилить мониторинг журналов сервера на предмет подозрительных XML-запросов, содержащих конструкции, типичные для XXE-атак. Многие решения класса IDS (Intrusion Detection System - система обнаружения вторжений) и IPS (Intrusion Prevention System - система предотвращения вторжений) могут быть настроены на детектирование подобных шаблонов.

Добавление уязвимости в каталог KEV CISA служит важным сигналом для всех организаций, использующих GeoServer. Этот шаг обязывает федеральные агентства США в срочном порядке устранить проблему в своих системах. Кроме того, это является веским основанием для частного сектора и международного сообщества последовать их примеру. Активная эксплуатация в дикой природе (in the wild) превращает теоретическую уязвимость в практическую угрозу безопасности данных и непрерывности бизнес-процессов.

Детали уязвимости

Ссылки