Η Progress Software έχει εκδώσει μια επείγουσα επιδιόρθωση για μια ευπάθεια μέγιστης (10/10) σοβαρότητας που επηρεάζει τα προϊόντα LoadMaster και LoadMaster Multi-Tenant (MT) Hypervisor που επιτρέπει στους εισβολείς να εκτελούν εξ αποστάσεως εντολές στη συσκευή.
Το ελάττωμα, παρακολουθείται ως CVE-2024-7591κατηγοριοποιείται ως πρόβλημα επικύρωσης ακατάλληλης εισαγωγής που επιτρέπει σε έναν μη επαληθευμένο, απομακρυσμένο εισβολέα να αποκτήσει πρόσβαση στη διεπαφή διαχείρισης του LoadMaster χρησιμοποιώντας ένα ειδικά διαμορφωμένο αίτημα HTTP.
Ωστόσο, η έλλειψη απολύμανσης των εισροών χρήστη θα μπορούσε επίσης να επιτρέψει στον εισβολέα να εκτελεί αυθαίρετες εντολές συστήματος σε ευάλωτα τελικά σημεία.
“Είναι δυνατό για μη επαληθευμένους, απομακρυσμένους εισβολείς που έχουν πρόσβαση στη διεπαφή διαχείρισης του LoadMaster να εκδώσουν ένα προσεκτικά διαμορφωμένο αίτημα HTTP που θα επιτρέπει την εκτέλεση αυθαίρετων εντολών συστήματος.” διαβάζει το δελτίο ασφαλείας.
“Αυτή η ευπάθεια έχει κλείσει με την απολύμανση της εισόδου αιτήματος χρήστη για τον μετριασμό της εκτέλεσης αυθαίρετων εντολών του συστήματος.”
Το LoadMaster είναι ένας ελεγκτής παράδοσης εφαρμογών (ADC) και μια λύση εξισορρόπησης φορτίου που χρησιμοποιείται από μεγάλους οργανισμούς για τη βελτιστοποίηση της απόδοσης της εφαρμογής, τη διαχείριση της κυκλοφορίας δικτύου και τη διασφάλιση υψηλής διαθεσιμότητας υπηρεσιών.
Το MT Hypervisor είναι μια έκδοση του LoadMaster που έχει σχεδιαστεί για περιβάλλοντα πολλαπλών μισθωτών, επιτρέποντας πολλαπλές λειτουργίες εικονικού δικτύου να εκτελούνται στο ίδιο υλικό.
Το CVE-2024-7591 βρέθηκε ότι επηρεάζει την έκδοση LoadMaster 7.2.60.0 και όλες τις προηγούμενες εκδόσεις, καθώς και την έκδοση 7.1.35.11 του MT Hypervisor και όλες τις προηγούμενες εκδόσεις. Οι κλάδοι Long-Term Support (LTS) και Long-Term Support with Feature (LTSF) επηρεάζονται επίσης.
Για να διορθώσει το ελάττωμα, η Progress κυκλοφόρησε ένα πρόσθετο πακέτο που μπορεί να εγκατασταθεί σε οποιαδήποτε από τις ευάλωτες εκδόσεις, συμπεριλαμβανομένων των παλαιότερων εκδόσεων, επομένως δεν υπάρχουν εκδόσεις-στόχοι για αναβάθμιση προκειμένου να αντιμετωπιστεί ο κίνδυνος από αυτήν την ευπάθεια.
Ωστόσο, η ενημερωμένη έκδοση κώδικα δεν ισχύει για τη δωρεάν έκδοση του LoadMaster, επομένως το CVE-2024-7591 παραμένει πρόβλημα εκεί.
Η Progress Software λέει ότι δεν έχει λάβει καμία αναφορά ενεργητικής εκμετάλλευσης για την ευπάθεια από τη δημοσίευση του δελτίου της.
Ωστόσο, συνιστάται σε όλους τους χρήστες του LoadMaster να λάβουν τα κατάλληλα μέτρα για να ασφαλίσουν το περιβάλλον τους έναντι αυτής της πιθανότητας, συμπεριλαμβανομένης της εγκατάστασης του πρόσθετου και επίσης της εφαρμογής του προτεινόμενου από τον προμηθευτή μέτρα σκλήρυνσης ασφαλείας.
VIA: bleepingcomputer.com