CVE-2024-43441: Authentication Bypass Vulnerability Found in Apache HugeGraph-Server
2024/12/25 securityonline — OSS グラフ・データベース・システムである Apache HugeGraph-Server に、深刻な脆弱性 CVE-2024-43441 が発見された。この脆弱性は、Apache Software Foundation により公開され、深刻度 “Important” と評価されている。この脆弱性の悪用に成功した攻撃者は、想定外の変更不能なデータを用いて認証メカニズムを回避し、機密性の高いグラフデータやオペレーションに対する、不正アクセスの可能性を手にする。
グラフ・データベースをベースとする、アプリケーションの開発に広く利用されている HugeGraph は、操作性/効率性に加えて、Apache TinkerPop3/Gremlin クエリ言語との互換性で定評を得ている。
このプロジェクトは GitHub でホストされており、以下のような機能を備えている。
- 高速なデータ・インポート (数十億の Vertice と Edge をサポート)
- ミリ秒レベルの関係クエリ機能 (OLTP:Online Transaction Processing)
- 大規模な分散グラフ・コンピューティング(OLAP:Online Analytical Processing)のサポート
特定バージョンの HugeGraph-Server において、JWT トークン (JSON Web トークン) を処理する際に、脆弱性 CVE-2024-43441 が悪用されると、認証バイパスを引き起こす可能性が生じる。具体的に言うと、対象となるサーバが、特定の JWT データは不変であると仮定しているため、攻撃者が検出されることなく、認証プロセスを操作できるようになる。
すでに Apache HugeGraph チームは、修正バージョン 1.5.0 をリリースし、これらの脆弱性に対処している。Apache HugeGraph-Server バージョン 1.0〜1.3 のユーザーに推奨されるのは、直ちに 1.5.0 へとアップグレードすることだ。
Apache HugeGraph-Server は、大規模データの管理における役割を拡大し、人気を博しているため、サイバー犯罪者にとって魅力的な標的になっている。なお、2024年4月には、別の RCE 脆弱性 CVE-2024-27348 (CVSS 9.8 ) が発見されている。この脆弱性は、不適切なアクセス制御に起因するものであり、2024年9月に CISA の KEV カタログに追加されている。
Apache HugeGraph-Server の深刻な脆弱性が FIX しました。認証バイパスにいたる恐れがありますので、ご利用のチームは、ご注意ください。HugeGraph に関する直近のトピックは、2024/07/17 の「Apache HugeGraph の脆弱性 CVE-2024-27348:悪用の試みが観測されている」です。よろしければ、Apache HugeGraph で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.