Слив засчитан
Image

Слив засчитан

Твои данные уже на прилавке даркнета, пока ты слепо веришь в надежность своей двухфакторки. 

Ваши карты «биты»: хакеры устроили в интернете глобальную инвентаризацию GeoServer

leer en español

F5 Labs GeoServer Efflux CVE WMS WFS сканирование
Ваши карты «биты»: хакеры устроили в интернете глобальную инвентаризацию GeoServer
F5 Labs GeoServer Efflux CVE WMS WFS сканирование

Неизвестные методично проверяют на прочность каждый открытый вход.

image

В январе 2026 года на фоне привычной волны автоматизированного сканирования в интернете заметно выделилось одно направление: злоумышленники стали чаще «прощупывать» GeoServer и связанные с ним сервисы. По данным телеметрии F5 Labs, активность запросов к характерным для GeoServer путям за месяц выросла на 50% по сравнению с декабрём.

Рост интереса связан с тем, что GeoServer часто намеренно держат доступным из внешней сети для работы с геоданными и стандартами OGC, включая WMS, WFS и OWS. Такая открытость упрощает интеграцию, но одновременно делает систему удобной мишенью: сервис легко распознаётся удалённо по характерному набору операций, а обработка сложных параметров расширяет поверхность атаки.

В январском трафике преобладали GET-запросы (93%), однако доля POST (7%) тоже важна, поскольку именно через тело запроса нередко отправляют более «тяжёлые» проверки и попытки воздействия. Запросы группировались вокруг трёх задач: проверка OGC-сервисов (особенно WFS), поиск веб-интерфейса GeoServer и валидация WMS-конечных точек.

В журналах это обычно выглядит как серия обращений к /geoserver/, затем к /geoserver/web/ и страницам с закладками Wicket, после чего начинаются массовые проверки возможностей через GetCapabilities и перечисление Stored Queries в WFS 2.0. Отдельно фиксировались обращения к обработчику аутентификации /geoserver/j_spring_security_check, тестовые проверки POST-поведения и попытки добраться до документации REST.

Авторы отчёта отмечают, что единичные запросы сами по себе могут выглядеть обыденно, но повторяемость и кластеры адресов чаще указывают на подготовку к дальнейшим действиям: перечисление слоёв и возможностей, тестирование уязвимых путей обработки параметров и в отдельных случаях доставку вредоносной нагрузки. Дополнительным сигналом инструментальной активности стала подмена строки User-Agent под обычные браузеры, использование устаревших значений User-Agent и заметная доля запросов с пустым User-Agent.

Внимание к GeoServer подогревают свежие описания уязвимостей. В материале упоминаются CVE-2025-58360, связанная с XXE в обработке WMS GetMap, что потенциально может привести к чтению файлов, SSRF или отказу в обслуживании, а также CVE-2024-36401, где речь идёт об удалённом выполнении кода без аутентификации через специально сформированные параметры в нескольких OGC-операциях. Отдельно подчёркивается, что инструменты обычно проверяют не одну проблему, а сразу набор, поэтому старые дефекты продолжают «жить» в базах сканеров годами.

Помимо GeoServer, F5 Labs выделила общий топ наиболее эксплуатируемых уязвимостей за январь 2026 года. Лидером остаётся CVE-2017-9841 в PHPUnit с 70 867 попытками эксплуатации. На втором месте CVE-2025-55182, затрагивающая React Server Components и небезопасную десериализацию, с 19 624 попытками. Далее идут CVE-2019-9082 в ThinkPHP (4152), CVE-2024-4577 в Apache PHP-CGI (4089) и CVE-2022-24847 в GeoServer, связанная с JNDI Lookup (2455). В долгосрочной динамике отмечено резкое снижение активности по CVE-2023-1389 и одновременный рост интереса к CVE-2023-25157.