В начале января 2026 года исследователи заметили необычное увеличение числа автоматизированных проверок инфраструктуры GeoServer и аналогичных решений. Согласно данным F5 Labs, количество подозрительных запросов к службам GeoServer увеличилось почти вдвое по сравнению с показателями декабря предыдущего года.
Этот всплеск объясняется тем, что многие администраторы оставляют службы GeoServer открытыми наружу для интеграции с географическими данными и протоколами Open Geospatial Consortium (OGC), такими как Web Map Service (WMS), Web Feature Service (WFS) и Online Web Services (OWS). Открытый доступ существенно упрощает взаимодействие, но вместе с тем создаёт повышенные риски: удалённое определение сервиса облегчается узнаваемыми операциями, а сложная логика обработки параметров открывает новые поверхности для потенциальных атак.
По результатам мониторинга было выявлено, что большинство подозрительных запросов были GET-запросами (около 93%). Оставшиеся 7% составляли POST-запросы, которые могли содержать более опасные тесты и потенциальные команды исполнения. Активность злоумышленников была направлена на три главных направления: проверку наличия сервисов OGC (особенно WFS), поиск административного интерфейса GeoServer и подтверждение работоспособности WMS-коннектов.
Типичный сценарий выглядел следующим образом: сначала поступало обращение к корневому пути /geoserver, затем следовали запросы к веб-интерфейсу (/geoserver/web) и отдельным модулям с вкладками на страницах Wicket. Затем выполнялись многочисленные проверки через API GetCapabilities и хранимые запросы в рамках стандарта WFS 2.0. Иногда предпринимались попытки обращения к механизму аутентификации /geoserver/j_spring_security_check.
Исследователи предупреждают, что одиночные запросы выглядят вполне обычными, но систематичность и концентрация адресов свидетельствуют о подготовке дальнейших шагов: изучение структур данных, проверка слабых мест в механизмах обработки параметров и иногда доставка вредоносного ПО. Дополнительно обращает внимание смена заголовка User-Agent на значения обычных браузеров, использование старых версий агента и значительное число запросов вообще без указанного User-Agent.
Особое беспокойство вызывает недавнее появление новых уязвимостей, подробно рассмотренных в докладе. Одна из них — CVE-2025-58360, связана с проблемой XML External Entity (XXE) при обработке картографических запросов, что теоретически допускает чтение произвольных файлов, выполнение удалённого запроса (SSRF) или падение сервера. Другая известная проблема — CVE-2024-36401, позволяет осуществить удалённое исполнение кода без авторизации, передав специальные параметры в некоторых операциях OGC.
Помимо вопросов безопасности самого GeoServer, специалисты F5 Labs отметили общую картину самой популярной уязвимости месяца. Самым популярным объектом атак вновь стал баг в библиотеке PHPUnit (CVE-2017-9841), зафиксирован рекордный показатель в 70 867 попыток эксплуатации. Второе место заняла ошибка в работе компонентов React Server Components (CVE-2025-55182), подверженная риску небезопасной десериализации (19 624 попытки). Замыкают рейтинг баги в ThinkPHP (CVE-2019-9082), PHP-CGI (CVE-2024-4577) и старой ошибке JNDI Lookup в самом GeoServer (CVE-2022-24847).
Анализ показывает постепенное затухание интереса к некоторым старым проблемам (таким как CVE-2023-1389), но параллельно растёт интерес к новым, ярким примером служит активация по CVE-2023-25157.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Notepad++ — популярный текстовый редактор с открытым исходным кодом — оказался в центре масштабной кибератаки. Злоумышленники, предположительно поддерживаемые государством, взломали механизм обновлений программы, чтобы распространять вредоносное ПО среди целевых пользователей.
Фишинговая атака: киберпреступники распространили вредоносный PowerShell-код через ложный домен, имитирующий ресурс активации продуктов Microsoft. Незначительная ошибка в написании привела к инфицированию машин загрузчиком Cosmali Loader.
В последнее время тема виртуальных частных сетей (VPN) стала одной из наиболее обсуждаемых в российском обществе. Пользователи часто задаются вопросом, насколько легально и безопасно пользоваться такими сервисами. Рассмотрим подробнее основные моменты нового закона, вступившего в силу осенью 2025 года.