Progress Software издаде спешна поправка за уязвимост с максимална (10/10) степен на сериозност, засягаща продуктите LoadMaster и LoadMaster Multi-Tenant (MT) Hypervisor, която позволява на атакуващите да изпълняват отдалечено команди на устройството.
Недостатъкът, проследен като CVE-2024-7591, е категоризиран като проблем с неправилно валидиране на входни данни, който позволява на неавтентифициран, отдалечен нападател да получи достъп до интерфейса за управление на LoadMaster чрез специално създадена HTTP заявка.
Липсата на санитарна обработка на потребителския вход обаче може да позволи на нападателя да изпълнява произволни системни команди на уязвими крайни точки.
„Възможно е неавтентифицирани, отдалечени нападатели, които имат достъп до интерфейса за управление на LoadMaster, да издадат внимателно подготвена HTTP заявка, която ще позволи изпълнението на произволни системни команди“, се казва в бюлетина за сигурност.
„Тази уязвимост е затворена, като е извършена санитарна обработка на потребителския вход на заявката, за да се ограничи изпълнението на произволни системни команди.“
LoadMaster е контролер за доставка на приложения (ADC) и решение за балансиране на натоварването, използвано от големи организации за оптимизиране на производителността на приложенията, управление на мрежовия трафик и осигуряване на висока наличност на услугите.
Хипервайзорът MT е версия на LoadMaster, предназначена за среди с много наематели, която позволява множество виртуални мрежови функции да работят на един и същ хардуер.
Установено е, че CVE-2024-7591 засяга LoadMaster версия 7.2.60.0 и всички предишни версии, а също и MT Hypervisor версия 7.1.35.11 и всички предишни версии. Засегнати са и клоновете Long-Term Support (LTS) и Long-Term Support with Feature (LTSF).
За отстраняване на дефекта Progress пусна допълнителен пакет, който може да се инсталира на всяка от уязвимите версии, включително и на по-стари версии, така че няма целеви версии, които да се обновяват, за да се отстрани рискът от тази уязвимост.
Пачът обаче не се прилага за безплатната версия на LoadMaster, така че CVE-2024-7591 остава проблем там.
Progress Software казва, че към момента на публикуване на бюлетина не е получавала съобщения за активна експлоатация на уязвимостта.
Въпреки това на всички потребители на LoadMaster се препоръчва да предприемат подходящи действия за защита на средата си от тази възможност, включително да инсталират добавката, а също и да приложат препоръчаните от производителя мерки за укрепване на сигурността.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.