Lỗ hổng có mã định danh CVE-2024-27348 và được đánh giá nghiêm trọng (điểm CVSS v3.1: 9,8), đây là lỗ hổng kiểm soát truy cập ảnh hưởng đến các phiên bản HugeGraph-Server từ 1.0.0 trở lên (không bao gồm phiên bản 1.3.0).
Apache đã khắc phục lỗ hổng vào ngày 22/4/2024, với việc phát hành phiên bản 1.3.0. Ngoài việc nâng cấp lên phiên bản mới nhất, người dùng cũng được khuyến nghị sử dụng Java 11 và bật hệ thống Auth.
Ngoài ra, việc kích hoạt tính năng “Whitelist-IP/port” được đề xuất để cải thiện tính bảo mật của quá trình thực thi RESTful-API, vốn có liên quan đến các chuỗi tấn công tiềm ẩn.
Hiện nay, CISA đã cảnh báo lỗ hổng CVE-2024-27348 đang bị khai thác trên thực tế, buộc các cơ quan liên bang và các tổ chức cơ sở hạ tầng quan trọng khác phải áp dụng bản vá trước thời hạn ngày 9/10/2024 để áp dụng các biện pháp giảm thiểu hoặc ngừng sử dụng phần mềm dễ bị tấn công.
Apache HugeGraph-Server là thành phần cốt lõi của dự án Apache HugeGraph, một hệ thống cơ sở dữ liệu đồ thị mã nguồn mở, được thiết kế để xử lý dữ liệu cây đồ thị quy mô lớn với hiệu suất và khả năng mở rộng cao.
Phần mềm này được các nhà cung cấp dịch vụ viễn thông sử dụng để phát hiện gian lận và phân tích mạng, các dịch vụ tài chính sử dụng để kiểm soát rủi ro và phân tích mô hình giao dịch, các mạng xã hội sử dụng để phân tích kết nối và hệ thống đề xuất tự động.
Với thực trạng khai thác đang diễn ra và ứng dụng được triển khai trong các môi trường doanh nghiệp có giá trị cao, việc áp dụng các bản cập nhật bảo mật và biện pháp giảm thiểu có sẵn càng sớm càng tốt là điều cấp thiết.
Bên cạnh lỗ hổng RCE CVE-2024-27348, CISA cũng đã thêm 4 lỗ hổng khác vào danh mục KEV lần này bao gồm:
- CVE-2020-0618: Lỗ hổng RCE Microsoft SQL Server Reporting Services.
- CVE-2019-1069: Lỗ hổng leo thang đặc quyền Microsoft Windows Task Scheduler.
- CVE-2022-21445: Lỗ hổng RCE Oracle Jdeveloper.
- CVE-2020-14644: Lỗ hổng RCE Oracle WebLogic Server.
Việc đưa vào các lỗ hổng cũ này không phải là dấu hiệu của việc khai thác gần đây mà nhằm mục đích làm phong phú thêm danh mục KEV, bằng cách ghi lại các lỗ hổng bảo mật đã được xác nhận là đã được sử dụng trong các cuộc tấn công vào một thời điểm nào đó trong quá khứ.
Hồng Đạt
(Tổng hợp)
07:00 | 16/09/2024
10:00 | 28/08/2024
14:00 | 11/10/2024
10:00 | 05/06/2024
16:00 | 19/09/2024
Hệ thống định vị vệ tinh toàn cầu (Global Navigation Satellite System - GNSS) là hệ thống xác định vị trí dựa trên vị trí của các vệ tinh nhân tạo, do Bộ Quốc phòng Hoa Kỳ thiết kế, xây dựng, vận hành và quản lý. Hệ thống GNSS ban đầu được dùng trong mục đích quân sự nhưng sau những năm 1980, Chính phủ Hoa Kỳ cho phép sử dụng GNSS vào mục đích dân sự ở phạm vi toàn cầu. Chính vì việc mở rộng phạm vi sử dụng nên đã dẫn đến các nguy cơ mất an toàn thông tin (ATTT) cho các hệ thống này. Bài báo sau đây sẽ giới thiệu các kỹ thuật tấn công mạng vào các hệ thống định vị toàn cầu.
14:00 | 09/09/2024
Những kẻ tấn công chưa rõ danh tính đã triển khai một backdoor mới có tên Msupedge trên hệ thống Windows của một trường đại học ở Đài Loan, bằng cách khai thác lỗ hổng thực thi mã từ xa PHP (có mã định danh là CVE-2024-4577).
14:00 | 08/07/2024
Cisco đã vá lỗ hổng zero-day trong hệ điều hành NX-OS bị khai thác trong các cuộc tấn công vào tháng 4/2024 để cài đặt phần mềm độc hại với quyền root trên các thiết bị chuyển mạch (switch) dễ bị tấn công.
09:00 | 26/06/2024
Việc xác thực 2 yếu tố bằng mã OTP được xem là biện pháp bảo mật an toàn. Tuy nhiên các tin tặc đã tìm ra kẽ hở để sử dụng phương pháp này tấn công lừa đảo.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Trong tháng 9/2024, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ TT&TT) đã ghi nhận 125.338 địa chỉ website giả mạo các cơ quan, tổ chức tăng hơn 100 địa chỉ so với tháng 8 trước đó.
14:00 | 24/10/2024
