W Progress Kemp LoadMaster wykryto poważną lukę w zabezpieczeniach, znaną jako CVE-2024-1212. Luka ta umożliwia nieautoryzowanym osobom atakującym uruchamianie poleceń systemowych za pośrednictwem interfejsu zarządzania LoadMaster bez uwierzytelniania. Luka ta uzyskała najwyższy wskaźnik ważności, uzyskując 10,0 w skali CVSS, co naraża użytkowników na poważne ryzyko wykorzystania.
Wykorzystana luka w LoadMaster stwarza zagrożenie dla sieci — czy masz już załataną poprawkę?
Rhino Security Labs ma ogłoszony że luka w implementacji API LoadMaster umożliwia wstrzykiwanie poleceń przed uwierzytelnieniem. Dla tych, którzy nie są z tym zaznajomieni, LoadMaster to rodzaj modułu równoważenia obciążenia dostępny w różnych wersjach, z popularnie używaną opcją bezpłatną. Problem pojawia się, gdy żądania API kierowane są do punktów końcowych „/access” i „/accessv2”. Serwer min-httpd przetwarza żądania w sposób umożliwiający wstawienie do poleceń systemowych danych zmanipulowanych przez osobę atakującą.
Mówiąc dokładniej, jeśli haker wyśle polecenie włączenia interfejsu API do punktu końcowego /access, system pominie kluczowe etapy weryfikacji dotyczące statusu włączonego interfejsu API. Dane są odczytywane bezpośrednio z nagłówka Authorization, co umożliwia atakującemu manipulowanie wartością „nazwy użytkownika”. Wstrzyknięty ciąg znaków jest umieszczany w zmiennej środowiskowej REMOTE_USER, a następnie przekazywany do wywołania system(), uruchamiającego polecenia w powłoce bash. Co ciekawe, podatność pozostaje aktywna nawet po wyłączeniu interfejsu API, zapewniając niepokojąco szeroki zakres możliwe możliwości wykorzystania.
Podczas sprawdzania tej lukizauważono, że LoadMaster składa się z dwie funkcje API. Najnowszy interfejs API v2 obsługuje żądania danych JSON przy użyciu punktu końcowego /accessv2. Niemniej jednak istnieje wyraźne rozróżnienie. Jednocześnie można zmienić zmienną hasła. Przed przekazaniem do podatnej na ataki ścieżki wykonania polecenia dane wejściowe są kodowane w formacie base64, co zapobiega wykorzystaniu tej metody.
Co więcej, wprowadzono poprawkę mającą na celu usunięcie luk w zabezpieczeniach poprzez skrócenie ciągów wejściowych zawierających apostrofy. Oznacza to, że wszelkie potencjalnie szkodliwe cudzysłowy są usuwane przed przetworzeniem polecenia przez system, co zapobiega próbom wstrzyknięcia.
Niedawno Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA). podwyższył klasyfikację z CVE-2024-1212 na znaną lukę w zabezpieczeniach, która jest aktywnie wykorzystywana, co jeszcze bardziej podkreśla pilność sytuacji. Od czasu wykrycia luki hakerzy zaczęli ją wykorzystywać w rzeczywistych sytuacjach, co podkreśla znaczenie, jakie ma znaczenie, jakie organizacje wykorzystują Progress Kemp LoadMaster do instalowania dostarczonych aktualizacji. Progress Software naprawił tę lukę w lutym 2024 r., choć ryzyko jej wykorzystania jest nadal znaczne.
CISA zasugerowała, aby federalny cywilny organ wykonawczy agencje załatają tę lukę do 9 grudnia 2024 rpodkreślając wagę problemu. Agencja przestrzegła, że w przypadku pomyślnego wykorzystania atakujący mogą uzyskać nieograniczony dostęp do interfejsu LoadMaster, umożliwiając im manipulowanie zachowaniami sieciowymi.
Co więcej, udoskonalenia te pokrywają się z ostrzeżeniami o większej liczbie słabych punktów, takich jak te wykryte w serwerze VMware vCenter Server (CVE-2024-38812 i CVE-2024-38813). Te aktywnie wykorzystywane luki podkreślają potrzebę wzmocnienia przez organizacje zabezpieczeń cyberbezpieczeństwa. Korzystając z niezawodnych narzędzi, takich jak Tenable VM, Tenable SC i Tenable Nessus, użytkownicy mogą chronić swoje systemy, szybko instalując poprawki i przeprowadzając testy podatności.
Kredyt obrazu: Furkan Demirkaja/Płynna sztuczna inteligencja
Wpis Jak hakerzy mogą kontrolować LoadMaster bez uwierzytelniania pojawił się jako pierwszy w TechBriefly.
Source: Jak hakerzy mogą kontrolować LoadMaster bez uwierzytelniania
