CISA は、現在 XML 外部実体(XXE)インジェクション攻撃で積極的に悪用されている重大な GeoServer の脆弱性について、米国連邦機関にパッチ適用を行うよう命じました。
この種の攻撃では、外部実体への参照を含む XML 入力が、設定の甘い XML パーサーによって処理されることで、攻撃者がサービス妨害(DoS)攻撃を仕掛けたり、機密データへアクセスしたり、サーバーサイド・リクエスト・フォージェリ(SSRF)を実行して内部システムとやり取りしたりできるようになります。
CISA が木曜日に警告を発したこのセキュリティ欠陥(CVE-2025-58360 として追跡)は、GeoServer 2.26.1 およびそれ以前のバージョン(インターネット上で地理空間データを共有するためのオープンソースサーバー)に存在する、認証不要の XML 外部実体(XXE)の脆弱性であり、脆弱なサーバーから任意のファイルを取得するために悪用される可能性があります。
「GeoServer 2.26.1 およびそれ以前のバージョンに影響する XML 外部実体(XXE)の脆弱性が特定されました。このアプリケーションは、特定のエンドポイント /geoserver/wms の GetMap 操作を通じて XML 入力を受け付けます」と、GeoServer のアドバイザリは説明しています。
「しかし、この入力は十分にサニタイズまたは制限されておらず、攻撃者が XML リクエスト内で外部実体を定義できてしまいます。」
インターネット監視団体 Shadowserver は現在、GeoServer のフィンガープリントを持つ 2,451 の IP アドレスを追跡しており、Shodan はオンラインに公開されている 14,000 を超えるインスタンスを報告しています。
CISA は現在、CVE-2025-58360 を 既知の悪用脆弱性(KEV)カタログに追加し、この欠陥が攻撃で積極的に悪用されていると警告するとともに、2021 年 11 月に発行された拘束力のある運用指令(BOD)22-01 に基づき、連邦民間行政機関(FCEB)に対し、2026 年 1 月 1 日までにサーバーへパッチを適用するよう命じました。
FCEB 機関とは、エネルギー省、財務省、国土安全保障省、保健福祉省など、米国行政府内の非軍事機関を指します。
BOD 22-01 は連邦機関のみに適用されますが、米国のサイバーセキュリティ機関は、ネットワーク防御担当者に対し、この脆弱性のパッチ適用を可能な限り早急に優先するよう促しています。
「この種の脆弱性は、悪意あるサイバー攻撃者にとって頻繁に利用される攻撃ベクトルであり、連邦エンタープライズに重大なリスクをもたらします」と、CISA は述べています。「ベンダーの指示に従って緩和策を適用し、クラウドサービスには該当する BOD 22-01 のガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止してください。」
昨年、CISA は、OSGeo GeoServer JAI-EXT コードインジェクション(CVE-2022-24816)および GeoTools eval インジェクション(CVE-2024-36401)の脆弱性も、積極的に悪用されているセキュリティ欠陥のリストに追加しました。
サイバーセキュリティ機関が 9 月に明らかにしたところによると、後者の脆弱性は、パッチ未適用の GeoServer インスタンスが侵害された結果、2024 年に米国政府の名称非公開機関への侵入に悪用されました。
