Podatność w Progress LoadMaster umożliwia nieuwierzytelnionym zdalnym atakującym wykonanie dowolnych poleceń systemowych poprzez interfejs zarządzania urządzeniem. Otrzymała maksymalny wynik CVSS 10.0, co czyni ją wyjątkowo krytycznym zagrożeniem dla organizacji korzystających z tego load balancera.
▸ Pokaż oryginał (EN)
Unauthenticated remote attackers can access the system through the LoadMaster management interface, enabling arbitrary system command execution.
Atakujący uzyskuje dostęp do systemu poprzez interfejs zarządzania LoadMaster bez konieczności posiadania jakichkolwiek poświadczeń. Podatność jest sklasyfikowana jako command injection (CWE-78), co oznacza, że dane wejściowe dostarczane przez atakującego są przekazywane bezpośrednio do powłoki systemowej bez odpowiedniej walidacji lub sanityzacji. Pozwala to na wykonanie arbitralnych poleceń z uprawnieniami procesu obsługującego interfejs zarządzania.
Atakujący bez uwierzytelnienia może przejąć pełną kontrolę nad urządzeniem, wykonując dowolne polecenia systemowe — co obejmuje kradzież danych, modyfikację konfiguracji, instalację backdoorów oraz potencjalny lateral movement w sieci wewnętrznej.
Należy niezwłocznie zaktualizować oprogramowanie LoadMaster do wersji LMOS 7.2.59.2, 7.2.54.8 lub 7.2.48.10 (zgodnie z posiadaną gałęzią). Dodatkowo zaleca się ograniczenie dostępu do interfejsu zarządzania wyłącznie do zaufanych adresów IP oraz izolację interfejsu zarządzania od sieci produkcyjnej.
Progress LoadMaster — wersje wskazane w referencjach producenta (poprawka dostępna w wersjach LMOS 7.2.59.2, 7.2.54.8 oraz 7.2.48.10 zgodnie z dokumentem producenta)
Podatność została dodana do katalogu CISA KEV (Known Exploited Vulnerabilities), co potwierdza jej aktywne wykorzystywanie w środowiskach produkcyjnych. Szczegółowe informacje o patchu opublikowane przez producenta pod adresem support.kemptechnologies.com.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HProgress Loadmaster
APPProgress7.2.48.1 – 7.2.48.10 (bez)7.2.54.0 – 7.2.54.8 (bez)7.2.55.0 – 7.2.59.2 (bez)
CISA KEV — szczegółyi
- Dostawcai
- Progress ↗
- Produkti
- Kemp LoadMaster
- Data dodania do KEVi
- 18 listopada 2024
- Termin remediation (USA)i
- 9 grudnia 2024(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami dostawcy lub wstrzymaj użytkowanie produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
Progress Kemp LoadMaster zawiera lukę umożliwiającą iniekcję poleceń OS, która pozwala niezauwierzytelnionemu atakującemu zdalnie uzyskać dostęp do systemu za pośrednictwem interfejsu zarządzania LoadMaster, umożliwiając dowolne wykonanie poleceń systemowych.
▸ Pokaż oryginał (EN)
Progress Kemp LoadMaster contains an OS command injection vulnerability that allows an unauthenticated, remote attacker to access the system through the LoadMaster management interface, enabling arbitrary system command execution.
Powiązane podatności
OS Command Injection Remote Code Execution Vulnerability in UI in Progress ADC Products allows an authenticate...
OS Command Injection Remote Code Execution Vulnerability in API in Progress ADC Products allows an authenticat...
OS Command Injection Remote Code Execution Vulnerability in API in Progress ADC Products allows an authenticat...
OS Command Injection Remote Code Execution Vulnerability in API in Progress ADC Products allows an authenticat...
OS Command Injection Remote Code Execution Vulnerability in API in Progress LoadMaster allows an authenticated...