Агентство CISA бьет тревогу по поводу критической уязвимости в GeoServer, которая активно эксплуатируется злоумышленниками, и предписывает федеральным агентствам немедленно устранить её.
Уязвимость, известная как CVE-2025-58360, представляет собой возможность неаутентифицированного внешнего XML-объекта (XXE), затрагивающую GeoServer версий 2.26.1 и ниже. При эксплуатации ошибка позволяет злоумышленникам извлекать произвольные файлы с уязвимых серверов, что может привести к краже данных, атакам типа «отказ в обслуживании» (DoS) или подделке запросов на стороне сервера (SSRF), которые могут раскрыть внутренние системы.
GeoServer, платформа с открытым исходным кодом для публикации и обмена геопространственными данными, широко используется в федеральных структурах, связанных с гражданскими, научными и оборонными ведомствами. «GeoServer широко применяется в федеральных агентствах, управляющих данными о земле, воде и геологии», — отметил Луи Айхенбаум, федеральный технический директор ColorTokens, добавив, что он часто работает параллельно с ArcGIS и остается подключенным к корпоративным ГИС-системам, даже в сегментированных или изолированных средах.
На этой неделе CISA внесло CVE-2025-58360 в свой каталог известных эксплуатируемых уязвимостей (KEV), ссылаясь на активную эксплуатацию. Консультации от Wiz и Канадского центра кибербезопасности указывают на то, что эксплойт-код циркулирует с конца ноября, давая злоумышленникам преимущество до скоординированного исправления.
Открытая платформа с реальной разведывательной ценностью
CVE-2025-58360 (CVSS 9.8 из 10) возникает из-за того, как GeoServer обрабатывает XML-ввод с помощью небезопасно сконфигурированного XML-парсер, который не ограничивает должным образом ссылки на внешние объекты. Сформированный запрос может заставить сервер извлекать локальные файлы или выполнять запросы во внутреннюю сеть, позволяя раскрывать информацию без аутентификации и потенциально осуществлять SSRF против систем, доступных экземпляру GeoServer.
Хотя ошибки XXE являются известным классом уязвимостей, исследователи предупреждают, что роль GeoServer в правительственных структурах делает эту уязвимость особенно чувствительной. По данным Shadowserver, в настоящее время наблюдается как минимум 2451 IP-адрес с отпечатками GeoServer, а Shodan сообщает о более чем 14 000 экземплярах GeoServer, доступных в Интернете.
«Больше всего меня беспокоит в CVE-2025-58360 то, что GeoServer стал стратегической платформой для сбора разведданных для противников из числа национальных государств», — заявил Сертис Фостер, ведущий специалист по поиску угроз в Deepwatch. «Это уже не отслеживание погоды или логистики; это скоординированная разведка инфраструктуры в масштабе».
Фостер предупредил, что неаутентифицированный доступ через эту уязвимость может позволить противникам извлекать геопространственную разведку, непосредственно связанную с энергетическими объектами, погодными системами и военными объектами.
Предупреждение CISA является третьим случаем, когда уязвимость GeoServer была отмечена как активно эксплуатируемая менее чем за год. Ранее подобные предупреждения были выпущены в июне 2024 и июле 2024 года в связи с более ранними уязвимостями. Эта тенденция указывает на то, что GeoServer перестал быть случайной целью и стал регулярной мишенью.
Почему одного исправления может быть недостаточно
Хотя CISA предписало федеральным агентствам устранить уязвимость, эксперты предупреждают, что скорость внедрения исправлений часто ограничивается операционными реалиями, включая обнаружение активов, картирование зависимостей и окна для управления изменениями, что может замедлить даже хорошо оснащенные команды.
«Когда уязвимости обнаруживаются в широко распространенных платформах, таких как GeoServer, практически ни одно федеральное агентство не может реально исправить их достаточно быстро», — отметил Айхенбаум. «Даже если бы они могли, к моменту публикации уведомления противник уже может использовать ее». Эта реальность подчеркивает необходимость «готовности к взлому», основанной на принципах нулевого доверия, добавил он.
Венки Раджу, полевой технический директор ColorTokens, выразил схожую обеспокоенность, заявив: «разработчики с открытым исходным кодом быстро реагируют исправлениями, однако предприятия могут не иметь возможности исправлять серверы из-за внутренних проблем». В качестве временной меры он рекомендовал изолировать затронутые экземпляры GeoServer с помощью средств микросегментации для ограничения бокового перемещения, сохраняя при этом работу.
Хотя уведомление CISA касалось федеральных гражданских исполнительных органов (FCEB) и предписывало им устранить уязвимость до 26 декабря 2025 года, оно «настоятельно рекомендовало» всем организациям своевременно решить эту проблему.
Автор – Shweta Sharma
