Apache圖像資料庫HugeGraph重大層級漏洞出現攻擊行動

今年4月Apache基金會針對圖像資料庫HugeGraph修補重大層級漏洞CVE-2024-27348，事隔3個月傳出有人將其用於攻擊行動的情況。

這項漏洞出現在gremlin元件，為命令執行弱點，影響1.0.0版以上的HugeGraph伺服器，而且是執行Java 8及Java 11版的應用程式環境。對此，Apache基金會提供1.3.0版HugeGraph予以修補，並呼籲用戶升級新版軟體之餘，還要採用Java 11的環境、啟用身分驗證系統，才能緩解漏洞，CVSS風險評分達到9.8。

事隔一個多月，滲透測試業者SecureLayer7揭露相關細節，並指出這項漏洞相當危險，攻擊者一旦利用，就能夠繞過沙箱的限制，達到執行程式碼的目的，進一步控制HugeGraph伺服器。

本週Shadowserver基金會提出警告，他們察覺有多個攻擊來源，發出POST /gremlin請求，試圖觸發CVE-2024-27348的情況，呼籲IT人員必須儘速採取行動，套用新版軟體。不過，該基金會並未透露攻擊來源的數量，也沒有公布曝露風險的HugeGraph伺服器臺數。