Ciberseguridad 360 | CISA advierte sobre vulnerabilidad crítica en Apache HugeGraph-Server explotado activamente

La Agencia de Ciberseguridad e Infraestructuras de EE.UU. (CISA) ha a�adido cinco fallos a su cat�logo de Vulnerabilidades Explotadas Conocidas (KEV), entre los que se encuentra un fallo de ejecuci�n remota de c�digo (RCE) que afecta a Apache HugeGraph-Server.

El fallo, rastreado como CVE-2024-27348 y calificado como cr�tico (puntuaci�n CVSS v3.1: 9,8), es una vulnerabilidad de control de acceso incorrecto que afecta a las versiones de HugeGraph-Server desde la 1.0.0 hasta la 1.3.0 inclusive.

Apache corrigi� la vulnerabilidad el 22 de abril de 2024, con el lanzamiento de la versi�n 1.3.0. Adem�s de actualizar a la �ltima versi�n, tambi�n se recomend� a los usuarios que utilizaran Java 11 y habilitaran el sistema Auth.

Tambi�n se propuso habilitar la funci�n "Whitelist-IP/port" para mejorar la seguridad de la ejecuci�n RESTful-API, implicada en potenciales cadenas de ataque.

Ahora, CISA ha advertido que se ha observado explotaci�n activa de CVE-2024-27348 in the wild, dando a las agencias federales y otras organizaciones de infraestructuras cr�ticas hasta el 9 de octubre de 2024 para aplicar mitigaciones o discontinuar el uso del producto.

Apache HugeGraph-Server es el componente central del proyecto Apache HugeGraph, una base de datos de grafos de c�digo abierto dise�ada para manejar datos de grafos a gran escala con alto rendimiento y escalabilidad, soportando operaciones complejas requeridas en la explotaci�n de relaciones profundas, agrupaci�n de datos y b�squedas de rutas.

El producto es utilizado, entre otros, por proveedores de telecomunicaciones para la detecci�n de fraudes y el an�lisis de grafos, servicios financieros para el control de riesgos y el an�lisis de patrones de transacciones, y redes sociales para el an�lisis de conexiones y sistemas de recomendaci�n automatizados.

Con la explotaci�n activa en curso y el producto utilizado en entornos empresariales aparentemente de alto valor, la aplicaci�n de las actualizaciones de seguridad disponibles y mitigaciones tan pronto como sea posible es exigente.

Los otros cuatro fallos a�adidos a KEV en esta ocasi�n son:

CVE-2020-0618: Vulnerabilidad de ejecuci�n remota de c�digo en Microsoft SQL Server Reporting Services.

CVE-2019-1069: Vulnerabilidad de escalada de privilegios en el programador de tareas de Microsoft Windows.

CVE-2022-21445: Vulnerabilidad de ejecuci�n remota de c�digo de Oracle JDeveloper.

CVE-2020-14644: Vulnerabilidad de ejecuci�n remota de c�digo en Oracle WebLogic Server.

La inclusi�n de estas vulnerabilidades m�s antiguas no es un indicio de explotaci�n reciente, sino que sirve para enriquecer el cat�logo KEV documentando fallos de seguridad que se ha confirmado que han sido utilizados en ataques en alg�n momento del pasado.

Fuente: bleepingcomputer