はじめに
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、米国連邦機関に対し、現在活発に悪用されているGeoServerの重大な脆弱性(CVE-2025-58360)のパッチを速やかに適用するよう命令しました。この脆弱性はXML外部実体(XXE)注入攻撃に利用されており、早急な対応が求められています。
GeoServer脆弱性の詳細
CISAが今回警告を発したのは、GeoServer 2.26.1以前のバージョンに存在する認証不要のXML外部実体(XXE)注入の脆弱性(CVE-2025-58360)です。オープンソースの地理空間データ共有サーバーであるGeoServerにおいて、/geoserver/wmsオペレーションのGetMapを通じて受け取るXML入力が適切にサニタイズされていないため、攻撃者が外部実体を定義できてしまいます。
この脆弱性が悪用されると、攻撃者は以下のことが可能になります。
- サービス拒否(DoS)攻撃の実行
- 機密データへのアクセス
- サーバーサイドリクエストフォージェリ(SSRF)による内部システムとの連携
- 脆弱なサーバーからの任意ファイルの取得
広範な影響とCISAの警告
Shadowserverの調査によると、現在2,451のIPアドレスでGeoServerのフィンガープリントが検出されており、Shodanは14,000以上のGeoServerインスタンスがオンラインに露出していると報告しています。この広範な影響を鑑み、CISAはCVE-2025-58360を「既知の悪用された脆弱性(KEV)カタログ」に追加しました。
CISAは、連邦政府の非軍事機関である連邦民間行政機関(FCEB)に対し、2021年11月に発行された拘束力のある運用指令(BOD)22-01に基づき、2026年1月1日までにこの脆弱性へのパッチ適用を義務付けています。また、連邦機関だけでなく、すべてのネットワーク防御者に対し、できるだけ早くこの脆弱性に対処するよう強く促しています。
CISAは「これらの種類の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦政府のシステムに重大なリスクをもたらします」と述べ、ベンダーの指示に従った緩和策の適用、または緩和策が利用できない場合は製品の使用中止を推奨しています。
過去の関連脆弱性と教訓
CISAは昨年、OSGeo GeoServer JAI-EXTコード注入(CVE-2022-24816)およびGeoTools eval注入(CVE-2024-36401)の脆弱性も、活発に悪用されているセキュリティ欠陥のリストに追加しています。特に、2024年にはCVE-2024-36401が悪用され、パッチが未適用のGeoServerインスタンスが侵害された後、米国政府機関が攻撃されたことが明らかになっています。
これらの事例は、組織がシステムのセキュリティを継続的に監視し、発見された脆弱性に対して迅速にパッチを適用することの重要性を改めて浮き彫りにしています。