Eine schwerwiegende Remote-Code-Execution-Schwachstelle (CVE-2024-27348) wurde in Apache HugeGraph Server in Versionen vor 1.3.0 entdeckt. Angreifer können durch Gremlin, eine Skriptsprache für Graphdatenbanken, die Sandbox-Einschränkungen umgehen und vollständige Kontrolle über den Server erlangen. Diese Schwachstelle hat einen CVSS-Score von 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
HugeGraph ist eine leistungsstarke, quelloffene Graphdatenbank, die für den Umgang mit großen Graphdatenmengen und komplexen Abfragen konzipiert ist. Entwickelt von Baidu, unterstützt HugeGraph verschiedene Datenmodelle und Abfragesprachen, darunter Gremlin, Cypher und SPARQL. Das System wurde entwickelt, um den Anforderungen von Baidus eigenen Anwendungen gerecht zu werden, und wurde schließlich als Open-Source-Projekt veröffentlicht.
CVE-2024-27348 ermöglicht es Angreifern, über Gremlin-Kommandos die Sicherheitsmechanismen des HugeGraph Servers zu umgehen. Dies wird durch unzureichende Filterung von Reflexionen in der Sicherheitsverwaltung ermöglicht, wodurch unautorisierte Befehle ausgeführt werden können.
Die Sicherheitslücke wurde durch mehrere Änderungen in den Quellcode-Dateien wie LoginAPI.java
, HugeFactoryAuthProxy.java
und HugeSecurityManager.java
geschlossen. Die wichtigsten Anpassungen umfassen:
- LoginAPI.java: Verbesserung des Authentifizierungsprozesses durch Hinzufügen von HTTP-Header-Überprüfungen.
- HugeFactoryAuthProxy.java: Einführung einer Funktion zur Filterung kritischer Systemklassen.
- HugeSecurityManager.java: Implementierung von Sicherheitsüberprüfungen, um den Zugriff auf sensible Klassen und Methoden zu verhindern.
Benutzer sollten sofort auf die neueste Version von HugeGraph aktualisieren (Version 1.3.0 oder höher), um diese Schwachstelle zu schließen. Falls ein Upgrade nicht sofort möglich ist, sollte der Zugriff auf die Gremlin-Schnittstelle stark eingeschränkt werden, um die Gefahr einer Ausnutzung zu minimieren.
Ein Proof-of-Concept existiert bereits und zeigt, dass Angreifer durch geschicktes Manipulieren von Gremlin-Skripten und Reflektionsaufrufen Systembefehle ausführen können. Der Patch filtert nun kritische Systemklassen und fügt neue Sicherheitsüberprüfungen hinzu, um solche Angriffe zu verhindern.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: