Специалисты SecureLayer7 предоставили подробный анализ уязвимости в популярной графовой базе данных Apache HugeGraph, которая позволяет удаленно выполнять код (Remote Code Execution, RCE).
CVE-2024-27348(оценка CVSS: 9.8) выявлена в версиях HugeGraph-Server 1.0.0 – 1.3.0. Эксплуатация осуществляется путём обхода ограничений песочницы и выполнения удалённого кода с помощью специально сформированных команд Gremlin.
Команды Gremlin используют недостатки в фильтрации рефлексии в SecurityManager, что позволяет злоумышленникам получить полный контроль над сервером. Атака открывает возможность кражи конфиденциальных данных, шпионажа за внутренней сетью, развёртывания вымогательского ПО и других вредоносных действий.
Apache HugeGraph позволяет разработчикам создавать приложения на основе графовых баз данных и обычно используется в средах Java 8 и Java 11. Обнаруженная уязвимость ставит под угрозу множество организаций, использующих Apache HugeGraph.
В апреле, когда проблема была впервые раскрыта, Apache Software Foundation настоятельно рекомендовала пользователям обновиться до версии 1.3.0 и включить систему аутентификации для устранения недостатка. Для повышения безопасности также рекомендуется включить функцию “Whitelist-IP/port”, которая улучшает защиту выполнения RESTful-API.
С тех пор, как стали доступны PoC-эксплоиты, вероятность использования ошибки значительно возросла. Один из эксплоитов, предоставленный багхантером Миланом Йовичем, позволяетнеаутентифицированному атакующему выполнять команды на уязвимых версиях. Другой разработчик, Зейад Азима, выпустилPython-сканер, который хоть и предназначен для этических целей, но также облегчает поиск уязвимых реализаций HugeGraph.
С учётом широкой распространённости Apache HugeGraph и серьёзности уязвимости CVE-2024-27348, обновление до версии 1.3.0 является срочной необходимостью. Если ваш проект ещё не обновлён до версии 1.3.0, сделайте это немедленно, чтобы защитить свои данные и инфраструктуру от возможных атак.