В Progress Kemp LoadMaster была обнаружена серьезная уязвимость безопасности, известная как CVE-2024-1212. Эта уязвимость позволяет неавторизованным злоумышленникам запускать системные команды через интерфейс управления LoadMaster без аутентификации. Этой уязвимости присвоен наивысший уровень серьезности: 10,0 баллов по шкале CVSS, что подвергает пользователей серьезному риску эксплуатации.
Эксплуатируемая уязвимость в LoadMaster подвергает сети риску. Вы уже исправлены?
Лаборатория безопасности Rhino имеет объявлено что уязвимость в реализации API LoadMaster делает возможным внедрение команд предварительной аутентификации. Для тех, кто с ним не знаком, ЛоадМастер — это тип балансировщика нагрузки, доступный в различных версиях, с широко используемой бесплатной опцией. Проблема возникает, когда запросы API выполняются к конечным точкам «/access» и «/accessv2». Сервер min-httpd обрабатывает запросы таким образом, чтобы позволить злоумышленнику вставлять данные, манипулируемые злоумышленником, в системные команды.
Точнее, если хакер отправит команду включения API в конечную точку /access, система обойдет важные этапы проверки относительно включенного статуса API. Данные считываются непосредственно из заголовка авторизации, что позволяет злоумышленнику манипулировать значением «имя пользователя». Внедренная строка помещается в переменную среды REMOTE_USER, а затем передается в вызов system(), запускающий команды в оболочке bash. Примечательно, что чувствительность остается активной, даже если API отключен, обеспечивая тревожно широкий диапазон возможные возможности эксплуатации.
При изучении этой уязвимостибыло отмечено, что LoadMaster состоит из две функции API. Последняя версия API v2 обрабатывает запросы данных JSON, используя конечную точку /accessv2. Тем не менее, существует четкое различие. Одновременно можно изменить переменную пароля. Перед передачей по уязвимому пути выполнения команды входные данные кодируются в base64, что предотвращает эксплуатацию с помощью этого метода.
Кроме того, было применено исправление для устранения уязвимостей безопасности путем сокращения входных строк, содержащих апострофы. Это означает, что все потенциально опасные кавычки удаляются до того, как система обработает команду, предотвращая попытки внедрения.
Агентство кибербезопасности и безопасности инфраструктуры (CISA) недавно обновил классификацию из CVE-2024-1212 к известной уязвимости, которая активно используется, что еще больше подчеркивает безотлагательность ситуации. После того как уязвимость была обнаружена, хакеры начали использовать ее в реальных ситуациях, подчеркивая важность использования организациями Progress Kemp LoadMaster для установки предоставленных обновлений. Компания Progress Software устранила эту уязвимость в феврале 2024 года, однако риск ее использования по-прежнему остается значительным.
CISA предложила Федеральной гражданской исполнительной власти агентства устранят эту уязвимость к 9 декабря 2024 г.подчеркивая серьезность проблемы. Агентство предупредило, что в случае успешной эксплуатации злоумышленники смогут получить неограниченный доступ к интерфейсу LoadMaster, что позволит им манипулировать поведением сети.
Кроме того, эти улучшения согласуются с предупреждениями о других уязвимостях, например, обнаруженных в сервере VMware vCenter (CVE-2024-38812 и CVE-2024-38813). Эти активно эксплуатируемые уязвимости подчеркивают необходимость усиления защиты кибербезопасности организаций. Используя надежные инструменты, такие как Tenable VM, Tenable SC и Tenable Nessus, пользователи могут защитить свои системы, оперативно устанавливая исправления и проводя тестирование на уязвимости.
Изображение предоставлено: Фуркан Демиркая/Поток ИИ
Сообщение «Как хакеры могут управлять LoadMaster без аутентификации» впервые появилось на TechBriefly.
Source: Как хакеры могут контролировать LoadMaster без аутентификации
