Jetzt patchen! Schadcode-Attacken auf GeoTools-Server
Angreifer haben es derzeit weltweit auf GeoTools-Server abgesehen. In Deutschland sind potenziell hunderte Systeme bedroht.
(Bild: antb/Shutterstock.com)
Angreifer nutzen zurzeit eine kritische Sicherheitslücke in GeoServer GeoTools aus. Sicherheitsupdates sind verfügbar.
Die Sicherheitslücke
Mit der Java-Bibliothek GeoTools kann man Geoinformationen visualisieren. Der Anbieter der Software hat nun eine Schwachstelle (CVE-2024-36401 "kritisch") geschlossen. Einer Warnmeldung zufolge steckt der Fehler in der XPath-Auswertung.
An dieser Stelle können sich Angreifer ohne Authentifizierung einklinken und Schadcode ausführen. Wie das im Detail vonstattengeht, ist derzeit unklar.
Bedrohung auch hierzulande
Vor den Attacken warnt unter anderem die US-Behörde Cybersecurity and Infrastructure Security Agency (CISA). Bundesbehörden müssen ihre Systeme bis zum 8. August absichern. In welchem Umfang die Attacken ablaufen, führt die CISA nicht aus. Sicherheitsforscher beobachteten erste Angriffe am 9. Juli 2024.
Eine Abfrage über die Cybersecurity-Suchmaschine von ZoomEye zeigt, dass weltweit rund 16.000 GeoTools-Server öffentlich über das Internet erreichbar sind. In Deutschland sind es zum Zeitpunkt dieser Meldung 943 Instanzen. Aus dem Ergebnis der Abfrage geht aber nicht hervor, welche Version installiert ist. Demzufolge sind die Server nur potenziell angreifbar.
Jetzt patchen!
Admins sollten umgehen eine der abgesicherten Ausgaben 2.23.6, 2.24.4 oder 2.25.2 installieren, um ihre Systeme vor den Attacken zu schützen. Außerdem sollten sie sicherstellen, dass ihre Server, nur wenn unbedingt notwendig, über das Internet erreichbar sind. Damit bekommen Angreifer nämlich eine oft vermeidbare Angriffsfläche. Ist eine öffentliche Erreichbarkeit unabdingbar, sollte der Zugriff abgesichert, etwa über eine VPN-Verbindung, stattfinden.
(des)
