Het Amerikaanse Cybersecurity and Infrastructure Agency (CISA) heeft vijf kwetsbaarheden toegevoegd aan zijn catalogus van Bekende Uitgebuite Kwetsbaarheden (KEV), waaronder een kwetsbaarheid voor remote code execution (RCE) die impact heeft op Apache HugeGraph-Server.

De kwetsbaarheid, gevolgd als CVE-2024-27348 en beoordeeld als kritiek (CVSS v3.1 score: 9.8), is een onjuiste toegangscontrole kwetsbaarheid die impact heeft op HugeGraph-Server versies van 1.0.0 tot en met, maar exclusief 1.3.0.

Apache heeft de kwetsbaarheid verholpen op 22 april 2024, met de release van versie 1.3.0. Naast het upgraden naar de nieuwste versie, werd gebruikers ook aanbevolen om Java 11 te gebruiken en het Auth-systeem in te schakelen.

Ook werd het inschakelen van de “Whitelist-IP/port” functie voorgesteld om de beveiliging van de RESTful-API uitvoering te verbeteren, wat betrokken was bij potentiële aanvalsketens.

Nu heeft CISA gewaarschuwd dat actieve exploitatie van CVE-2024-27348 in het wild is waargenomen, waarmee federale agentschappen en andere kritieke infrastructuurorganisaties tot 9 oktober 2024 de tijd hebben om mitigaties toe te passen of het gebruik van het product te staken.

Apache HugeGraph-Server is het kerncomponent van het Apache HugeGraph project, een open-source grafiekdatabase ontworpen voor het omgaan met grootschalige grafiekgegevens met hoge prestaties en schaalbaarheid, ter ondersteuning van complexe operaties vereist in diepgaande relatie-exploitatie, data clustering en pad zoekopdrachten.

Het product wordt onder andere gebruikt door telecomaanbieders voor fraudeopsporing en netwerk analyse, financiële diensten voor risicobeheersing en transactiepatroonanalyse, en sociale netwerken voor verbindingsanalyse en geautomatiseerde aanbevelingssystemen.

Met lopende actieve exploitatie en het product dat blijkbaar in waardevolle bedrijfsomgevingen wordt gebruikt, is het van cruciaal belang om de beschikbare beveiligingsupdates en mitigaties zo snel mogelijk toe te passen.

De andere vier kwetsbaarheden die deze keer aan KEV zijn toegevoegd zijn:

• CVE-2020-0618: Microsoft SQL Server Reporting Services Remote Code Execution Vulnerability
• CVE-2019-1069: Microsoft Windows Task Scheduler Privilege Escalation Vulnerability
• CVE-2022-21445: Oracle JDeveloper Remote Code Execution Vulnerability
• CVE-2020-14644: Oracle WebLogic Server Remote Code Execution Vulnerability

De opname van deze oudere kwetsbaarheden is geen indicatie van recente exploitatie, maar dient om de KEV-catalogus te verrijken door beveiligingsfouten te documenteren waarvan is bevestigd dat ze op enig moment in het verleden zijn gebruikt in aanvallen.