Multiple Vulnerabilities Patched in Apache HugeGraph – Update Immediately
2024/04/22 SecurityOnline — Apache HugeGraph は、数十億の交点とエッジの処理を行い、堅牢な OLTP (online transaction processing) 機能を持つ、主要な高性能グラフ・データベースとして知られている。その HugeGraph だが、最近になって、ユーザーに重大なリスクをもたらし得る、3つのセキュリティ脆弱性に対処した。これらの脆弱性は、HugeGraph システムの様々なコンポーネントに影響するものであり、悪用されると、SSRF (Server-Side Request Forgery)/ RCE (Remote Command Execution)/認証バイパスなどが生じる恐れがある。
脆弱性の詳細
- CVE-2024-27347:Hubble における SSRF の脆弱性。この脆弱性の悪用に成功した攻撃者は、ユーザーの HugeGraph-Hubble インスタンスを使って、内部ネットワークの偵察/他のシステムへの攻撃/機密データの操作などを実行する可能性がある。
- CVE-2024-27348:RCE (Remote Command Execution) の脆弱性。この脆弱性を悪用する攻撃者は、ユーザーの HugeGraph-Server を完全に乗っ取り、あらゆる悪意のコードを実行することが可能になり、ユーザーのインフラ内に広範な損害をもたらす可能性がある。Java 8/Java 11 を実行しているユーザーは特に危険である。
- CVE-2024-27349:認証バイパスの脆弱性。HugeGraph-Server の脆弱なバージョンを実行している場合において、確立されたセキュリティ対策を、攻撃者に完全に回避される可能性が生じる。それにより、攻撃者は、ユーザーのデータベースに自由にアクセスできるようになる。
脆弱なバージョン
以下のいずれかの HugeGraph を使用している場合は、影響を受けていると考え、アップデートを優先すべきである:
- Apache HugeGraph-Hubble:バージョン 1.0.0〜1.2.x
- Apache HugeGraph-Server:バージョン 1.0.0〜1.2.x (Java 8/Java 11 上で動作している場合は特に危険だ)
早急な対処が求められている
- アップグレード:Apache HugeGraph をバージョン 1.3.0 にアップグレードする。
- Java バージョンの精査:HugeGraph-Server のユーザーは、サポートされているバージョンの Java を実行していることを確認する必要がある。Java 8/11 を使用している場合にはアップグレードし、ビルトイン認証システムを直ちに有効化すべきだ。
- 防御レイヤーの追加:最大限のセキュリティのために、Whitelist-IP/port 機能を設定する。それにより、RESTful API へのアクセスが制限され、不正なアクティビティに対する追加のバリアが提供される。
早急に対処すべき理由
- 機密データを守る:グラフ・データベースには、顧客データ/知的財産/ビジネス・クリティカルな分析などの、組織が信頼する機密情報が格納されていることが多い。攻撃者による侵害が、壊滅的な打撃を与える可能性がある。
- 被害の拡大を防ぐ:侵害されたシステムは、他のターゲットに悪用され、被害が拡大し、さらなる攻撃に巻き込まれる可能性が生じる。
- 復旧コストの発生を防ぐ:攻撃への対応を成功させることは、多大なダウンタイム/生産性の低下/風評被害などをもたらす可能性がある。事前に対策を講じることで、こうした頭痛の種を防ぐことができる。
この、Apache HugeGraph ですが、どのような分野で利用されているのでしょうか? とても興味深いですが、検索しても日本語のコンテンツは見つかりませんでした。また、OLTP で日本語コンテンツを検索すると、真っ先に出てくるのは Oracle であり、日本市場での浸透度が感じられます。よろしければ、Apache で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.