أضافت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) خمسة عيوب إلى كتالوج الثغرات الأمنية المستغلة المعروفة (KEV)، ومن بينها عيب تنفيذ التعليمات البرمجية عن بعد (RCE) الذي يؤثر على Apache HugeGraph-Server.
الخلل، كما تم تعقبه سي في إي-2024-27348 وتم تصنيفها على أنها حرجة (درجة CVSS v3.1: 9.8)، وهي ثغرة تحكم في الوصول غير السليم تؤثر على إصدارات HugeGraph-Server من 1.0.0 وما فوق، ولكنها لا تشمل 1.3.0.
أباتشي”http://lists.apache.org/thread/nx6g6htyhpgtzsocybm242781o8w5kq9″ الهدف=”_blank” rel=”nofollow noopener”> تم إصلاح الثغرة الأمنية في 22 أبريل 2024، مع إصدار الإصدار 1.3.0. وبصرف النظر عن الترقية إلى الإصدار الأحدث، تم التوصية للمستخدمين أيضًا باستخدام Java 11 و”https://hugegraph.apache.org/docs/config/config-authentication/#configure-user-authentication” الهدف=”_blank” rel=”nofollow noopener”>تمكين نظام المصادقة.
كما أن تمكين “Whitelist-IP/port” تم اقتراح وظيفة لتحسين أمان تنفيذ RESTful-API، والذي كان متورطًا في سلاسل الهجوم المحتملة.
والآن حذرت وكالة الأمن السيبراني والبنية التحتية من الاستغلال النشط”https://nvd.nist.gov/vuln/detail/CVE-2024-27348″ الهدف=”_blank” rel=”nofollow noopener”>CVE-2024-27348 وقد تم رصد هذه المادة في البرية، مما يمنح الوكالات الفيدرالية ومنظمات البنية التحتية الحيوية الأخرى مهلة حتى 9 أكتوبر 2024 لتطبيق إجراءات التخفيف أو التوقف عن استخدام المنتج.
Apache HugeGraph-Server هو المكون الأساسي لـ”https://hugegraph.apache.org/docs/introduction/readme/” الهدف=”_blank” rel=”nofollow noopener”>أباتشي هيوج غراف مشروع، قاعدة بيانات رسومية مفتوحة المصدر مصممة للتعامل مع بيانات الرسوم البيانية واسعة النطاق بأداء عالٍ وقابلية للتطوير، ودعم العمليات المعقدة المطلوبة في استغلال العلاقات العميقة، وتجميع البيانات، وعمليات البحث عن المسارات.
يتم استخدام المنتج، من بين أمور أخرى، من قبل مزودي الاتصالات للكشف عن الاحتيال وتحليل الشبكة، والخدمات المالية للسيطرة على المخاطر وتحليل أنماط المعاملات، والشبكات الاجتماعية لتحليل الاتصالات وأنظمة التوصية الآلية.
مع استمرار الاستغلال النشط واستخدام المنتج في بيئات مؤسسية عالية القيمة على ما يبدو، فإن تطبيق تحديثات الأمان والتخفيفات المتاحة في أسرع وقت ممكن أمر ضروري.
العيوب الأربعة الأخرى”https://www.cisa.gov/news-events/alerts/2024/09/18/cisa-adds-five-known-exploited-vulnerabilities-catalog” الهدف=”_blank” rel=”nofollow noopener”>أضيفت إلى KEV هذه المرة نكون:
- CVE-2020-0618:ثغرة تنفيذ التعليمات البرمجية عن بعد في Microsoft SQL Server Reporting Services
- سي في إي-2019-1069:ثغرة تصعيد امتيازات جدولة المهام في Microsoft Windows
- سي في إي-2022-21445:ثغرة تنفيذ التعليمات البرمجية عن بعد في Oracle JDeveloper
- CVE-2020-14644:ثغرة تنفيذ التعليمات البرمجية عن بعد في Oracle WebLogic Server
إن إدراج هذه الثغرات القديمة ليس مؤشراً على الاستغلال الأخير، بل إنه يهدف إلى إثراء كتالوج KEV من خلال توثيق العيوب الأمنية التي تم التأكد من استخدامها في الهجمات في وقت ما في الماضي.