La Cybersecurity and Infrastructure Agency (CISA) des États-Unis a ajouté cinq failles à son catalogue de vulnérabilités exploitées connues (KEV), parmi lesquelles une faille d’exécution de code à distance (RCE) affectant Apache HugeGraph-Server.

La faille, identifiée comme CVE-2024-27348 et classée critique (score CVSS v3.1: 9,8), est une vulnérabilité de contrôle d’accès incorrecte qui affecte les versions HugeGraph-Server de 1.0.0 à 1.3.0, mais non comprises.

Apache a corrigé la vulnérabilité le 22 avril 2024 avec la sortie de la version 1.3.0. Outre la mise à niveau vers la dernière version, il était également recommandé aux utilisateurs d’utiliser Java 11 et d’activer le système d’authentification.

De plus, l’activation de la fonction » Liste blanche-IP/port  » a été proposée pour améliorer la sécurité de l’exécution de l’API RESTful, qui était impliquée dans des chaînes d’attaques potentielles.

Maintenant, CISA a averti qu’une exploitation active de CVE-2024-27348 a été observée dans la nature, donnant aux agences fédérales et autres organisations d’infrastructures critiques jusqu’au 9 octobre 2024 pour appliquer des mesures d’atténuation ou cesser l’utilisation du produit.

Apache HugeGraph-Server est le composant central du projet Apache HugeGraph, une base de données de graphes open source conçue pour gérer des données de graphes à grande échelle avec des performances et une évolutivité élevées, prenant en charge des opérations complexes requises dans l’exploitation de relations profondes, le clustering de données et les recherches de chemins.

Le produit est utilisé, entre autres, par les fournisseurs de télécommunications pour la détection des fraudes et l’analyse des réseaux, les services financiers pour le contrôle des risques et l’analyse des modèles de transactions, et les réseaux sociaux pour l’analyse des connexions et les systèmes de recommandation automatisés.

Avec une exploitation active en cours et le produit utilisé dans des environnements d’entreprise apparemment à forte valeur ajoutée, l’application des mises à jour de sécurité et des atténuations disponibles dès que possible est exigeante.

Les quatre autres défauts ajoutés à KEV cette fois sont:

  • CVE-2020-0618: Vulnérabilité d’exécution de code à distance Microsoft SQL Server Reporting Services
  • CVE-2019-1069: Vulnérabilité d’escalade de privilèges du planificateur de tâches Microsoft Windows
  • CVE-2022-21445: Vulnérabilité d’exécution de code à distance Oracle JDeveloper
  • CVE-2020-14644: Vulnérabilité d’exécution de code à distance du serveur Oracle WebLogic

L’inclusion de ces vulnérabilités plus anciennes n’est pas une indication d’une exploitation récente, mais sert à enrichir le catalogue KEV en documentant les failles de sécurité dont il a été confirmé qu’elles avaient été utilisées dans des attaques à un moment donné dans le passé.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *