.
Se você ainda não atualizou para a versão 1.3.0 do Apache HugeGraph, agora é um bom momento porque pelo menos duas explorações de prova de conceito para um bug de execução remota de comando classificado como CVSS 9.8 no banco de dados gráfico de código aberto foram feitas público.
Apache HugeGraph permite que os desenvolvedores criem aplicativos baseados em bancos de dados gráficos e é comumente usado em ambientes Java 8 e Java 11. No final de abril, a Apache Software Foundation divulgou uma vulnerabilidade crítica, rastreada como CVE-2024-27348, nas versões do HugeGraph-Server 1.0.0 antes do lançamento 1.3.0 de abril. Agora, o código de exploração para encontrar e quebrar esses sistemas está no GitHub.
O problema, CVE-2024-27348, pode ser abusado para contornar restrições de sandbox e obter execução remota de código usando comandos Gremlin especialmente criados que exploram a filtragem de reflexão ausente no SecurityManager.
Há uma análise muito detalhada do CVE do equipamento de teste de penetração SecureLayer7 avisando que os administradores realmente precisam consertar isso.
Se explorada, a falha dá ao invasor controle total sobre o servidor e permite que ele roube dados confidenciais, bisbilhote a rede interna da organização vítima, implante ransomware ou realize qualquer outra série de ações malignas.
Ao divulgar o bug em abril, o projeto de código aberto pediu aos usuários que atualizassem para a versão 1.3.0 com Java11 e habilitassem o sistema Auth para corrigir a falha. O Apache atribuiu a alguém chamado “6right”, do fornecedor chinês de segurança em nuvem Moresec, a descoberta e o relato da falha.
“Além disso, você pode ativar a função “Whitelist-IP/port” para melhorar a segurança da execução da API RESTful”, disseram os mantenedores do projeto na época.
Esperançosamente, os usuários já atualizaram para uma versão corrigida. Mas se ainda não o fez, não há melhor momento como agora – antes que os malfeitores comecem a abusar do código de exploração POC.
Uma exploração POC, contribuída pelo caçador de recompensas de bugs Milan Jovic, permite que usuários não autenticados executem comandos do sistema operacional em versões vulneráveis.
Outro desenvolvedor de exploits, Zeyad Azima, lançou um scanner Python, que, embora destinado a ser usado apenas para fins éticos, tornará mais fácil para qualquer pessoa encontrar implementações vulneráveis do HugeGraph.
Considerando a natureza amplamente utilizada do projeto de código aberto e a gravidade da falha, sugerimos a atualização para uma versão fixa o mais rápido possível. ®
.
