Apache HugeGraph-Server: scoperto bug sfruttato negli attacchi

La Cybersecurity and Infrastructure Agency (CISA) degli Stati Uniti ha aggiunto cinque falle al suo catalogo Known Exploited Vulnerabilities (KEV). Tra queste vi è anche una falla di esecuzione di codice remoto (RCE) che ha un impatto su Apache HugeGraph-Server. La falla, tracciata come CVE-2024-27348 e classificata come critica (punteggio CVSS v3.1: 9,8), è una vulnerabilità di controllo di accesso improprio che ha un impatto sulle versioni di HugeGraph-Server dalla 1.0.0 e successive. Apache ha dichiarato di aver risolto la debolezza il 22 aprile 2024, con il rilascio della versione 1.3.0.

Oltre all'aggiornamento alla versione più recente, agli utenti è stato anche consigliato di utilizzare Java 11 e abilitare il sistema Auth. Inoltre, è stata proposta l'abilitazione della funzione "Whitelist-IP/port" per migliorare la sicurezza dell'esecuzione RESTful-API, che era coinvolta in potenziali catene di attacchi. Ora, la CISA ha avvisato che è stato osservato uno sfruttamento attivo di CVE-2024-27348 in natura, dando alle agenzie federali e ad altre organizzazioni di infrastrutture critiche fino al 9 ottobre 2024 per applicare mitigazioni o interrompere l'uso del prodotto.

Apache HugeGraph-Server: effettuare l’update per evitare ulteriori problemi

Apache HugeGraph-Server è il componente principale del progetto Apache HugeGraph. Si tratta di un database grafico open source progettato per gestire dati grafici su larga scala con elevate prestazioni e scalabilità. Inoltre, offre supporto per operazioni complesse richieste nello sfruttamento di relazioni approfondite, nel clustering di dati e nelle ricerche di percorsi. Il prodotto è utilizzato anche dai provider di telecomunicazioni per il rilevamento di frodi e l'analisi di rete. È anche usato dai servizi finanziari per il controllo dei rischi e l'analisi dei modelli di transazione e dai social network per l'analisi delle connessioni e i sistemi di raccomandazione automatizzati. Con lo sfruttamento attivo in corso è quindi urgente applicare gli aggiornamenti di sicurezza e le mitigazioni disponibili il prima possibile.

Oltre a quella riguardante Apache HugeGraph-Server, CISA ha aggiunto al catalogo KEV altre quattro vulnerabilità. La prima è CVE-2020-0618, ovvero un difetto di esecuzione di codice remoto di Microsoft SQL Server Reporting Services. La seconda è CVE-2019-1069, una vulnerabilità di escalation dei privilegi di Microsoft Windows Task Scheduler. La terza è CVE-2022-21445, difetto di esecuzione di codice remoto di Oracle JDeveloper, mentre la quarta è CVE-2020-14644, una vulnerabilità di esecuzione di codice remoto di Oracle WebLogic Server. L'inclusione di queste vecchie vulnerabilità non è un'indicazione di sfruttamento recente, ma serve ad arricchire il catalogo KEV. Ciò serve a documentare i difetti di sicurezza che sono stati confermati come utilizzati in attacchi in qualche momento del passato.