CISA、GeoServerの欠陥が実際に悪用される中で即時パッチ適用を命令

CISAは、野放しの環境で実際に悪用されているGeoServerの重大な脆弱性について警鐘を鳴らし、連邦機関に対して直ちにパッチを適用するよう命じた。

この欠陥はCVE-2025-58360として追跡されており、GeoServer 2.26.1以前に影響する、認証不要のXML外部エンティティ（XXE）脆弱性だ。悪用されると、このバグにより攻撃者は脆弱なサーバーから任意のファイルを取得でき、データ窃取、サービス拒否（DoS）攻撃、または内部システムを露出させ得るサーバーサイド・リクエスト・フォージェリ（SSRF）が可能になる。

地理空間データの公開・共有のためのオープンソース・プラットフォームであるGeoServerは、民生、科学、防衛関連の連邦環境で広く利用されている。ColorTokensの連邦CTOであるルイス・アイケンバウム氏は、「GeoServerは、土地・水・地球科学データを管理する連邦機関全体で広く使われている」と述べ、ArcGISと併用されることが多く、他の部分がセグメント化またはエアギャップ化されている展開であっても、エンタープライズGISシステムへ接続されたままであることが多いと指摘した。

CISAは今週、実際の悪用を根拠に、CVE-2025-58360を既知の悪用済み脆弱性（KEV）カタログに追加した。Wizおよびカナダのサイバーセキュリティ・センター（Canadian Centre）の勧告によれば、エクスプロイトコードは11月下旬以降に流通しており、協調的なパッチ適用が行われる前に攻撃者が先手を取れる状況になっていたという。

実際のインテリジェンス価値を持つ、露出したプラットフォーム

Deepwatchのシニア脅威ハンター・リードであるサーティス・フォスター氏は、「CVE-2025-58360で最も懸念しているのは、GeoServerが国家主体の敵対者にとって戦略的な情報収集プラットフォームになっていることだ」と述べた。「もはや企業が天候や物流を追跡しているという話ではない。これは大規模に協調されたインフラ偵察だ。」

フォスター氏は、このバグを通じた認証不要のアクセスにより、敵対者がエネルギー資産、気象システム、軍事拠点に直結する地理空間インテリジェンスを抽出できる可能性があると警告した。

CISAの警告は、実際に悪用されているとして同機関がフラグを立てたGeoServerの脆弱性として、この1年余りで3件目となる。これに先立ち、過去の欠陥に関連して、2024年6月および2024年7月にも警告が出されている。このパターンは、GeoServerが偶発的な標的ではなく、繰り返し狙われる対象になっていることを示唆している。

パッチ適用だけでは不十分かもしれない理由

CISAは連邦機関にパッチ適用を義務付けたが、専門家は、資産の発見、依存関係のマッピング、変更管理の実施期間といった運用上の現実により、十分なリソースを持つチームであっても迅速化が制約されることが多いと注意を促す。

アイケンバウム氏は、「GeoServerのように広く展開されているプラットフォームで脆弱性が公開されると、現実的に見て、ほとんどの連邦機関は十分な速さでパッチを当てられない」と述べた。「仮にできたとしても、通知が公になる頃には、敵対者はすでに悪用している可能性がある。」この現実は、ゼロトラスト原則に基づく「侵害前提（breach-ready）」の姿勢が必要であることを強める、と同氏は付け加えた。

ColorTokensのフィールドCTOであるヴェンキー・ラジュ氏も懸念に同調し、「オープンソース開発者は修正に素早く対応するが、企業は内部的な課題によりサーバーへパッチを適用できない場合がある」と述べた。暫定措置として、任務運用を維持しつつ、マイクロセグメンテーション制御で影響を受けるGeoServerインスタンスを隔離し、横方向の移動を制限することを推奨した。

CISAの通知は連邦文民行政部門（FCEB）機関に適用され、2025年12月26日までにパッチを適用するよう指示したが、すべての組織に対しても、この問題を適時に是正するよう「強く促した」。