Progress Kemp LoadMaster 中发现了一个重大安全漏洞,称为 CVE-2024-1212。该漏洞使得未经授权的攻击者能够在未经身份验证的情况下通过 LoadMaster 管理界面运行系统命令。该漏洞的严重程度最高,CVSS 评分为 10.0,使用户面临被利用的重大风险。
LoadMaster 中被利用的漏洞使网络面临风险 – 您修补了吗?
Rhino 安全实验室宣布 LoadMaster API 实现中存在允许预身份验证命令注入的漏洞。对于那些不熟悉它的人来说,LoadMaster 是一种有多种版本的负载均衡器,其中有一个广泛使用的免费选项。当向“/access”和“/accessv2”端点发出 API 请求时,就会出现问题。 min-httpd 服务器处理请求的方式使攻击者操纵的数据能够插入到系统命令中。
更准确地说,如果黑客向 /access 端点发送启用 API 命令,系统将绕过有关 API 启用状态的关键验证步骤。数据直接从授权标头读取,允许攻击者操纵“用户名”值。注入的字符串被放置到 REMOTE_USER 环境变量中,然后传递到 system() 调用,在 bash shell 中运行命令。值得注意的是,即使 API 关闭,易感性仍然活跃,提供了令人不安的广泛可能的利用机会。
在检查此漏洞时,我们注意到 LoadMaster 由两个 API 函数组成。最新的 v2 API 使用 /accessv2 端点处理 JSON 数据请求。尽管如此,还是有一个明显的区别。同时,可以更改密码变量。在传递到易受攻击的命令执行路径之前,输入会以 base64 进行编码,从而防止通过此方法进行利用。
此外,已应用修复程序通过缩短包含撇号的输入字符串来解决安全漏洞。这表明在系统处理命令之前,任何可能有害的引号都会被删除,从而防止注入尝试。
网络安全和基础设施安全局 (CISA) 最近将 CVE-2024-1212 的分类升级为正在积极利用的已知漏洞,进一步凸显了情况的紧迫性。自从发现该漏洞以来,黑客已开始在实际情况中利用它,这凸显了组织利用 Progress Kemp LoadMaster 安装所提供的更新的重要性。 Progress Software 于 2024 年 2 月修复了此漏洞,但被利用的风险仍然很大。
CISA 建议联邦民事行政部门机构在 2024 年 12 月 9 日之前解决此漏洞,强调了问题的严重性。该机构警告说,如果成功利用该漏洞,攻击者可以不受限制地访问 LoadMaster 界面,从而能够操纵网络行为。
此外,这些进步与有关更多漏洞的警告相一致,例如在 VMware vCenter Server 中发现的漏洞(CVE-2024-38812 和 CVE-2024-38813)。这些被积极利用的漏洞凸显了组织需要加强其网络安全防御。使用 Tenable VM、Tenable SC 和 Tenable Nessus 等可靠工具,用户可以通过及时安装补丁和进行漏洞测试来保护其系统。
图片来源:Furkan Demirkaya/Flux AI
黑客如何在没有身份验证的情况下控制 LoadMaster 的帖子首先出现在 TechBriefly 上。
Source: 黑客如何在没有身份验证的情况下控制LoadMaster