Apache Software Foundation (ASF) wydała krytyczne aktualizacje bezpieczeństwa mające na celu załatanie poważnej luki w swoim oprogramowaniu Traffic Control. Wykorzystanie tej wady mogłoby umożliwić atakującym wykonanie dowolnych komend SQL w bazie danych, co stanowi ogromne zagrożenie dla systemów korzystających z tej technologii.
Zidentyfikowana luka, oznaczona jako CVE-2024-45387, osiągnęła alarmującą ocenę 9.9 na 10 w systemie CVSS, co wskazuje na jej bardzo wysoki poziom zagrożenia. Powodem tak wysokiej oceny jest związane z nią ryzyko oraz potencjalna dostępność dla atakujących z odpowiednimi uprzywilejowaniami. Problem dotyczy użytkowników o rolach takich jak „admin”, „federation”, „operations”, „portal” czy „steering”, którzy mogą nieświadomie dopuścić do wykonania złośliwych komend SQL za pomocą specjalnie przygotowanego żądania PUT.
Apache Traffic Control to otwartoźródłowa implementacja sieci dostarczania treści (CDN), która stała się Top-Level Project (TLP) ASF w czerwcu 2018 roku. Dzięki swojej popularności i zasięgowi infrastruktura ta jest szeroko wdrażana w organizacjach na całym świecie, co dodatkowo podnosi wagę kwestii związanych z zabezpieczeniem tej platformy. Użytkownicy są szczególnie zachęcani, aby natychmiast zaktualizować swoje systemy do wersji 8.0.2, gdzie luka została skutecznie załatana.
Odkrywcą podatności jest Yuan Luo, badacz z Tencent YunDing Security Lab, który został zgłoszony w związku z wykryciem tej niebezpiecznej sytuacji. Tak szybkie działania ASF świadczą o ich trosce o bezpieczeństwo użytkowników oraz ciągłym dążeniu do osłabienia możliwości cyberataków.
To wydarzenie wpisuje się w szerszy obraz działań ASF na rzecz bezpieczeństwa cybernetycznego. Niedawno organizacja rozwiązała problem związany z luką w uwierzytelnianiu w Apache HugeGraph-Server (CVE-2024-43441). Problem ten dotyczył wersji oprogramowania od 1.0 do 1.3, a poprawki zostały zaimplementowane w wersji 1.5.0. Dodatkowo ASF wydała łatkę dla innej ważnej podatności (CVE-2024-56337) w Apache Tomcat, która mogła prowadzić do zdalnego wykonania kodu (RCE) w szczególnych sytuacjach.
Ochrona przed zagrożeniami wymaga stałego podejmowania działań, a aktualizowanie oprogramowania to kluczowy krok w zapewnieniu bezpieczeństwa danych oraz funkcjonowania infrastruktury. Wszystkim użytkownikom korzystającym z rozwiązań Apache zdecydowanie zaleca się natychmiastową instalację najnowszych wersji oprogramowania w celu ochrony przed potencjalnymi atakami i wykorzystaniem istniejących podatności.