CISA cảnh báo về lỗ hổng Apache HugeGraph-Server đang bị khai thác

Cơ quan Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm 5 lỗ hổng vào danh mục Các lỗ hổng đã biết bị khai thác (KEV), trong đó có lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến Apache HugeGraph-Server.

Lỗ hổng có mã định danh CVE-2024-27348 và được đánh giá nghiêm trọng (điểm CVSS v3.1: 9,8), đây là lỗ hổng kiểm soát truy cập ảnh hưởng đến các phiên bản HugeGraph-Server từ 1.0.0 trở lên (không bao gồm phiên bản 1.3.0).

Apache đã khắc phục lỗ hổng vào ngày 22/4/2024, với việc phát hành phiên bản 1.3.0. Ngoài việc nâng cấp lên phiên bản mới nhất, người dùng cũng được khuyến nghị sử dụng Java 11 và bật hệ thống Auth.

Ngoài ra, việc kích hoạt tính năng “Whitelist-IP/port” được đề xuất để cải thiện tính bảo mật của quá trình thực thi RESTful-API, vốn có liên quan đến các chuỗi tấn công tiềm ẩn.

Hiện nay, CISA đã cảnh báo lỗ hổng CVE-2024-27348 đang bị khai thác trên thực tế, buộc các cơ quan liên bang và các tổ chức cơ sở hạ tầng quan trọng khác phải áp dụng bản vá trước thời hạn ngày 9/10/2024 để áp dụng các biện pháp giảm thiểu hoặc ngừng sử dụng phần mềm dễ bị tấn công.

Apache HugeGraph-Server là thành phần cốt lõi của dự án Apache HugeGraph, một hệ thống cơ sở dữ liệu đồ thị mã nguồn mở, được thiết kế để xử lý dữ liệu cây đồ thị quy mô lớn với hiệu suất và khả năng mở rộng cao.

Phần mềm này được các nhà cung cấp dịch vụ viễn thông sử dụng để phát hiện gian lận và phân tích mạng, các dịch vụ tài chính sử dụng để kiểm soát rủi ro và phân tích mô hình giao dịch, các mạng xã hội sử dụng để phân tích kết nối và hệ thống đề xuất tự động.

Với thực trạng khai thác đang diễn ra và ứng dụng được triển khai trong các môi trường doanh nghiệp có giá trị cao, việc áp dụng các bản cập nhật bảo mật và biện pháp giảm thiểu có sẵn càng sớm càng tốt là điều cấp thiết.

Bên cạnh lỗ hổng RCE CVE-2024-27348, CISA cũng đã thêm 4 lỗ hổng khác vào danh mục KEV lần này bao gồm:

- CVE-2020-0618: Lỗ hổng RCE Microsoft SQL Server Reporting Services.

- CVE-2019-1069: Lỗ hổng leo thang đặc quyền Microsoft Windows Task Scheduler.

- CVE-2022-21445: Lỗ hổng RCE Oracle Jdeveloper.

- CVE-2020-14644: Lỗ hổng RCE Oracle WebLogic Server.

Việc đưa vào các lỗ hổng cũ này không phải là dấu hiệu của việc khai thác gần đây mà nhằm mục đích làm phong phú thêm danh mục KEV, bằng cách ghi lại các lỗ hổng bảo mật đã được xác nhận là đã được sử dụng trong các cuộc tấn công vào một thời điểm nào đó trong quá khứ.