開放原始碼 GeoServer 中的 CVE-2024-36401 暴露系統於遠端執行程式碼的風險

CVE-2024-36401會影響 2.25.2、2.24.4 及 2.23.6 之前的 GeoServer 版本。此漏洞是由於在多個 OGC 請求參數中，以 XPath 表達式不安全地評估屬性名稱所引起。攻擊者可透過在預設的 GeoServer 安裝中注入精心製作的輸入，利用此漏洞建立 RCE (遠端執行程式碼)。

 根據 GitHub 安全公告，此漏洞的 CVSS v3.1 得分為 9.8 (Critical)。 

GeoServer 支援簡單與複雜的特徵類型，以容納不同的地理空間資料結構，從平面到複雜的嵌套資料集。然而，這些資料類型的 XPath 表達式處理上的缺陷，使得 CVE-2024-36401 容易被攻擊。

簡單特徵類型以平面格式表示直接的地理空間資料，其中資料庫中的每一行對應一個地理空間特徵；而每一屬性則直接映射至 XML 元素。 

舉例來說，代表公司的表格有 id、name 和 location 等欄位，可以輕鬆轉換成簡單的 XML 功能。

相比之下，複雜特徵類型可處理更複雜的資料。這種特徵類型支援巢狀屬性以及不同資料集之間的關係。這些複雜模式不是自動產生的，而是使用社群標準定義的，如 GeoServer 的應用程式模式擴充概述。

例： 

在之前的公司表下，我們新增一個外鍵 gu_id 來描述公司與其相對應的地質單位之間的關係：

地質單位資訊單獨儲存於表 地質單位:

透過這些表格，我們可以將公司映射到 sa:取樣公司，其中包含一個嵌套的 gsml:地質單位.此設定會產生複雜的功能，因為它涉及由社群規格定義的巢狀類型和關係，而非自動產生的模式。

GeoServer 的設計是使用 XPath 評估來處理複雜的特徵類型（例如 Application Schema 資料庫中的特徵類型）。但由於處理不當，它也錯誤地將 XPath 評估應用於簡單的特徵類型。這造成了攻擊向量，因為

1. GeoServer 依賴 GeoTools 函式庫在資料擷取過程中評估屬性名稱。
2. 這 共通-jxpath 函式庫，用於處理 XPath 表達式，缺乏適當的驗證，在處理 XPath 表達式時可能執行任意程式碼。
3. 此漏洞使所有 GeoServer 實體暴露於潛在的 RCE 漏洞，因為攻擊者可以製作惡意請求，利用此不安全的 XPath 執行來控制伺服器。

• 一個 職位 請求被傳送到 GetPropertyValue 操作。然後，GeoServer 嘗試擷取該屬性（或 值參考) 為一個給定的特徵。  
• 如果請求的屬性存在於地物類型詳細資料表中，GeoServer 會正常處理該屬性。

除了標準函數之外，JXPath 也支援延伸函數，作為連結 Java 的橋梁。這個「Java 橋樑」非常重要，因為它允許在 XPath 查詢中直接呼叫 Java 函式：

GeoServer 的 WFS 可讓使用者查詢和操作地理空間特徵。在正常情況下，WFS GetPropertyValue 作業只會以 XML 結構傳回所要求的屬性。

1. 攻擊者傳送 POST 請求到 /geoserver/wfs。
2. GeoServer 檢查最外層的 XML 標籤wfs:GetPropertyValue-來決定執行哪個作業。
3. 然後，GeoServer 將請求參數委託給 WFS 類中的相應方法。在這種情況下，Dispatcher 會將請求直接指向 GetPropertyValue 方法。

為了模擬在真實世界情境中的開發，我們的OPSWAT 畢業研究員將 GeoServer 部署在本地 Windows 機器上。存取 GeoServer 時會顯示以下介面。

一個簡單的漏洞攻擊就可能升級為軟體供應鏈攻擊，尤其是在依賴 GeoServer 等開放原始碼軟體的專案中。OPSWAT SBOM（軟體物料清單）技術有助於識別程式碼庫中的漏洞，例如 CVE-2024-36401。

本範例說明OPSWAT SBOM：

1. 偵測受漏洞影響的軟體元件。
2. 評估安全漏洞的嚴重性並將其排序 - 在此，GeoServer CVE 被標記為 "Critical"。
3. 識別受影響的版本。
4. 建議固定版本，以便開發團隊能及時套用修補程式或採取修復措施。