Geoserver

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança de alta gravidade no OSGeo GeoServer em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2025-58360, possui uma pontuação CVSS de 8.2 e afeta todas as versões anteriores e incluindo 2.25.5, bem como as versões 2.26.0 a 2.26.1. Essa falha de entidade externa XML (XXE) permite que atacantes acessem arquivos arbitrários do sistema de arquivos do servidor, realizem ataques de Server-Side Request Forgery (SSRF) e até mesmo ataques de negação de serviço (DoS). A CISA recomenda que as agências federais apliquem as correções necessárias até 1º de janeiro de 2026. Embora não haja detalhes sobre como a vulnerabilidade está sendo explorada atualmente, um boletim do Centro Canadense de Segurança Cibernética indicou que um exploit para essa vulnerabilidade já está ativo. Além disso, uma falha crítica anterior no mesmo software, CVE-2024-36401, também foi explorada por diversos atores de ameaças no último ano.

Cibercriminosos estão explorando uma vulnerabilidade crítica em bancos de dados GeoServer para sequestrar máquinas de vítimas e monetizar sua largura de banda. Desde março de 2025, essa operação sofisticada utiliza a vulnerabilidade CVE-2024-36401, que permite a execução remota de código, com um CVSS de 9.8, destacando sua gravidade. Os atacantes injetam comandos através de consultas JXPath, permitindo a execução de código arbitrário. A análise revelou mais de 7.000 instâncias de GeoServer expostas publicamente em 99 países, com a maioria localizada na China. O objetivo principal da campanha é implantar kits de desenvolvimento de software (SDKs) legítimos e aplicativos modificados que compartilham os recursos de rede das vítimas por meio de proxies residenciais, gerando renda passiva. A operação é realizada em três fases, com os atacantes mudando rapidamente de infraestrutura após serem detectados. Para mitigar esses riscos, as organizações devem corrigir imediatamente as instâncias do GeoServer e implementar monitoramento de rede para conexões suspeitas.