ABD Siber Güvenlik ve Altyapı Ajansı (CISA), Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna beş güvenlik açığı daha ekledi; bunların arasında Apache HugeGraph-Server’ı etkileyen uzaktan kod yürütme (RCE) güvenlik açığı da yer alıyor.
Kusur, izlendi CVE-2024-27348 ve kritik olarak derecelendirilen (CVSS v3.1 puanı: 9.8), HugeGraph-Server’ın 1.0.0’dan başlayarak 1.3.0’a kadar olan sürümlerini etkileyen uygunsuz bir erişim kontrolü güvenlik açığıdır.
Apache, 22 Nisan 2024’te 1.3.0 sürümünü yayınlayarak bu güvenlik açığını giderdi. Kullanıcılara en son sürüme yükseltmenin yanı sıra Java 11 kullanmaları ve Auth sistemini etkinleştirmeleri de önerildi.
Ayrıca, olası saldırı zincirlerinde yer alan RESTful-API yürütmesinin güvenliğini artırmak için “Whitelist-IP/port” fonksiyonunun etkinleştirilmesi önerildi.
CISA, CVE-2024-27348’in aktif olarak istismar edildiğinin doğada gözlemlendiği uyarısında bulunarak, federal kurumlara ve diğer kritik altyapı kuruluşlarına 9 Ekim 2024’e kadar önlem almaları veya ürünün kullanımını durdurmaları için süre verdi.
Apache HugeGraph-Server, yüksek performans ve ölçeklenebilirlikle büyük ölçekli grafik verilerini işlemek için tasarlanmış, derin ilişki kullanımı, veri kümelemesi ve yol aramalarında gereken karmaşık işlemleri destekleyen açık kaynaklı bir grafik veritabanı olan Apache HugeGraph projesinin temel bileşenidir.
Ürün, telekom sağlayıcıları tarafından dolandırıcılık tespiti ve ağ analizi, finansal hizmetler tarafından risk kontrolü ve işlem örüntü analizi, sosyal ağlar tarafından bağlantı analizi ve otomatik öneri sistemleri için kullanılıyor.
Etkin bir şekilde sömürülmesi ve ürünün görünüşte yüksek değerli kurumsal ortamlarda kullanılması nedeniyle, mevcut güvenlik güncellemelerinin ve hafifletmelerinin mümkün olan en kısa sürede uygulanması zorunludur.
Bu sefer KEV’e eklenen diğer dört kusur ise şunlardır:
- CVE-2020-0618: Microsoft SQL Server Reporting Services Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2019-1069: Microsoft Windows Görev Zamanlayıcı Ayrıcalık Yükseltme Güvenlik Açığı
- CVE-2022-21445: Oracle JDeveloper Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2020-14644: Oracle WebLogic Server Uzaktan Kod Yürütme Güvenlik Açığı
Bu eski güvenlik açıklarının dahil edilmesi, yakın zamanda bir istismarın göstergesi değildir; ancak geçmişte bir noktada saldırılarda kullanıldığı doğrulanan güvenlik açıklarını belgelendirerek KEV kataloğunu zenginleştirmeye yarar.