Търсене
Close this search box.

Публикуван е код за доказване на концепция за експлойт на уязвимост в сигурността с най-висока степен на опасност в Progress Flowmon – инструмент за наблюдение на производителността и видимостта на мрежата.

Progress Flowmon съчетава функции за проследяване на производителността, диагностика и откриване и реагиране на мрежата. Той се използва от повече от 1500 компании в цял свят, включително SEGA, KIA и TDK, Volkswagen, Orange и Tietoevry.

Проблемът със сигурността е с максимална оценка за сериозност 10/10 и е открит от изследователи от Rhino Security Labs. Понастоящем той се проследява като CVE-2024-2389.

Атакуващият, който използва уязвимостта, може да използва специално създадена API заявка, за да получи отдалечен, неавтентифициран достъп до уеб интерфейса на Flowmon и да изпълни произволни системни команди.

Разработчикът на Flowon Progress Software за първи път предупреди за дефекта на 4 април, като предупреди, че той засяга версии на продукта v12.x и v11.x. Компанията призова системните администратори да преминат към най-новите версии, v12.3.4 и 11.1.14.

Актуализацията за сигурност беше пусната за всички клиенти на Flowmon автоматично чрез системата „Автоматично изтегляне на пакети“ или ръчно от центъра за изтегляне на производителя. Progress също така препоръча след това да се обновят всички модули на Flowmon.

Наличен е код за експлойт

В доклад от днес Rhino Security Labs публикува технически подробности за уязвимостта заедно с демонстрация, показваща как нападателят може да се възползва от проблема, за да създаде webshell и да увеличи привилегиите си до root.

Изследователите обясняват, че са успели да инжектират команди чрез манипулиране на „pluginPath“ или „file parameters“, за да вградят злонамерени команди. Използвайки синтаксиса за заместване на команди , например $(…), изследователите са могли да постигнат изпълнение на произволна команда.

„Командата се изпълнява на сляпо, така че не е възможно да се види изходът на изпълнената команда, но е възможно да се напише webshell в /var/www/shtml/“, обясняват изследователите.

Струва си да се отбележи, че в сигнал отпреди около две седмици CSIRT на Италия предупреди, че експлойтът вече е станал достъпен. Всъщност на 10 април изследовател по сигурността е публикувал валиден PoC за CVE-2024-2389 на X.

Изложени на риск сървъри на Flowmon

Броят на екземплярите на Flowmon, изложени в публичната мрежа, изглежда варира значително в зависимост от търсачката.

Към момента на публикуване поглед към търсачката Fofa за мрежови активи показва, че в мрежата има около 500 Flowmon сървъра, изложени на риск. Търсачките Shodan и Hunter виждат по-малко от 100 екземпляра.

На 19 април Progress Software в бюлетин по сигурността увери клиентите си, че няма съобщения за активна експлоатация на CVE-2024-2389. Въпреки това справянето с проблема чрез обновяване до безопасна версия възможно най-скоро е от решаващо значение.

 

Източник: По материали от Интернет

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
Бъдете социални
Още по темата
02/10/2024

Eксплоатирани са уязвимости...

В понеделник американската агенция за киберсигурност...
30/09/2024

Критичен недостатък в NVIDI...

Критична уязвимост в NVIDIA Container Toolkit...
26/09/2024

Вратите на здравно заведени...

Изследовател твърди, че американско здравно заведение...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!