Ваши карты «биты»: хакеры устроили в интернете глобальную инвентаризацию GeoServer
NewsMakerНеизвестные методично проверяют на прочность каждый открытый вход.
В январе 2026 года на фоне привычной волны автоматизированного сканирования в интернете заметно выделилось одно направление: злоумышленники стали чаще «прощупывать» GeoServer и связанные с ним сервисы. По данным телеметрии F5 Labs, активность запросов к характерным для GeoServer путям за месяц выросла на 50% по сравнению с декабрём.
Рост интереса связан с тем, что GeoServer часто намеренно держат доступным из внешней сети для работы с геоданными и стандартами OGC, включая WMS, WFS и OWS. Такая открытость упрощает интеграцию, но одновременно делает систему удобной мишенью: сервис легко распознаётся удалённо по характерному набору операций, а обработка сложных параметров расширяет поверхность атаки.
В январском трафике преобладали GET-запросы (93%), однако доля POST (7%) тоже важна, поскольку именно через тело запроса нередко отправляют более «тяжёлые» проверки и попытки воздействия. Запросы группировались вокруг трёх задач: проверка OGC-сервисов (особенно WFS), поиск веб-интерфейса GeoServer и валидация WMS-конечных точек.
В журналах это обычно выглядит как серия обращений к /geoserver/, затем к /geoserver/web/ и страницам с закладками Wicket, после чего начинаются массовые проверки возможностей через GetCapabilities и перечисление Stored Queries в WFS 2.0. Отдельно фиксировались обращения к обработчику аутентификации /geoserver/j_spring_security_check, тестовые проверки POST-поведения и попытки добраться до документации REST.
В январе 2026 года на фоне привычной волны автоматизированного сканирования в интернете заметно выделилось одно направление: злоумышленники стали чаще «прощупывать» GeoServer и связанные с ним сервисы. По данным телеметрии F5 Labs, активность запросов к характерным для GeoServer путям за месяц выросла на 50% по сравнению с декабрём.
Рост интереса связан с тем, что GeoServer часто намеренно держат доступным из внешней сети для работы с геоданными и стандартами OGC, включая WMS, WFS и OWS. Такая открытость упрощает интеграцию, но одновременно делает систему удобной мишенью: сервис легко распознаётся удалённо по характерному набору операций, а обработка сложных параметров расширяет поверхность атаки.
В январском трафике преобладали GET-запросы (93%), однако доля POST (7%) тоже важна, поскольку именно через тело запроса нередко отправляют более «тяжёлые» проверки и попытки воздействия. Запросы группировались вокруг трёх задач: проверка OGC-сервисов (особенно WFS), поиск веб-интерфейса GeoServer и валидация WMS-конечных точек.
В журналах это обычно выглядит как серия обращений к /geoserver/, затем к /geoserver/web/ и страницам с закладками Wicket, после чего начинаются массовые проверки возможностей через GetCapabilities и перечисление Stored Queries в WFS 2.0. Отдельно фиксировались обращения к обработчику аутентификации /geoserver/j_spring_security_check, тестовые проверки POST-поведения и попытки добраться до документации REST.