Публикуван е код за доказване на концепция за експлойт на уязвимост в сигурността с най-висока степен на опасност в Progress Flowmon – инструмент за наблюдение на производителността и видимостта на мрежата.
Progress Flowmon съчетава функции за проследяване на производителността, диагностика и откриване и реагиране на мрежата. Той се използва от повече от 1500 компании в цял свят, включително SEGA, KIA и TDK, Volkswagen, Orange и Tietoevry.
Проблемът със сигурността е с максимална оценка за сериозност 10/10 и е открит от изследователи от Rhino Security Labs. Понастоящем той се проследява като CVE-2024-2389.
Атакуващият, който използва уязвимостта, може да използва специално създадена API заявка, за да получи отдалечен, неавтентифициран достъп до уеб интерфейса на Flowmon и да изпълни произволни системни команди.
Разработчикът на Flowon Progress Software за първи път предупреди за дефекта на 4 април, като предупреди, че той засяга версии на продукта v12.x и v11.x. Компанията призова системните администратори да преминат към най-новите версии, v12.3.4 и 11.1.14.
Актуализацията за сигурност беше пусната за всички клиенти на Flowmon автоматично чрез системата „Автоматично изтегляне на пакети“ или ръчно от центъра за изтегляне на производителя. Progress също така препоръча след това да се обновят всички модули на Flowmon.
В доклад от днес Rhino Security Labs публикува технически подробности за уязвимостта заедно с демонстрация, показваща как нападателят може да се възползва от проблема, за да създаде webshell и да увеличи привилегиите си до root.
Изследователите обясняват, че са успели да инжектират команди чрез манипулиране на „pluginPath“ или „file parameters“, за да вградят злонамерени команди. Използвайки синтаксиса за заместване на команди , например $(…), изследователите са могли да постигнат изпълнение на произволна команда.
„Командата се изпълнява на сляпо, така че не е възможно да се види изходът на изпълнената команда, но е възможно да се напише webshell в /var/www/shtml/“, обясняват изследователите.
Струва си да се отбележи, че в сигнал отпреди около две седмици CSIRT на Италия предупреди, че експлойтът вече е станал достъпен. Всъщност на 10 април изследовател по сигурността е публикувал валиден PoC за CVE-2024-2389 на X.
Броят на екземплярите на Flowmon, изложени в публичната мрежа, изглежда варира значително в зависимост от търсачката.
Към момента на публикуване поглед към търсачката Fofa за мрежови активи показва, че в мрежата има около 500 Flowmon сървъра, изложени на риск. Търсачките Shodan и Hunter виждат по-малко от 100 екземпляра.
На 19 април Progress Software в бюлетин по сигурността увери клиентите си, че няма съобщения за активна експлоатация на CVE-2024-2389. Въпреки това справянето с проблема чрез обновяване до безопасна версия възможно най-скоро е от решаващо значение.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.