Código de exploração proof-of-concept foi divulgado para uma vulnerabilidade de segurança de gravidade máxima no Progress Flowmon, uma ferramenta para monitoramento de desempenho de rede e visibilidade.
O Progress Flowmon combina recursos de rastreamento de desempenho, diagnósticos e detecção de rede e resposta.
É utilizado por mais de 1.500 empresas ao redor do mundo, incluindo SEGA, KIA, TDK, Volkswagen, Orange e Tietoevry.
A falha de segurança recebeu a pontuação máxima de gravidade de 10/10 e foi descoberta por pesquisadores da Rhino Security Labs.
Atualmente, está registrada como
CVE-2024-2389
.
Um atacante explorando a vulnerabilidade pode usar uma solicitação de API especialmente criada para obter acesso remoto e não autenticado à interface web do Flowmon e executar comandos arbitrários do sistema.
O desenvolvedor do Flowmon, Progress Software, alertou sobre a falha no dia 4 de abril, avisando que ela afeta versões do produto v12.x e v11.x.
A empresa instou administradores de sistemas a atualizar para os últimos lançamentos, v12.3.5 e 11.1.14.
A atualização de segurança foi liberada para todos os clientes do Flowmon, seja automaticamente por meio do sistema de 'Download automático de pacotes' ou manualmente a partir do centro de download do fornecedor.
A Progress também recomendou a atualização de todos os módulos do Flowmon posteriormente.
Em um relatório hoje, a Rhino Security Labs divulgou detalhes técnicos sobre a vulnerabilidade, junto com uma demonstração de como um atacante poderia explorar a falha para implantar um webshell e escalar privilégios para root.
Os pesquisadores explicam que conseguiram injetar comandos manipulando os parâmetros 'pluginPath' ou 'file' para embutir comandos maliciosos.
Usando a sintaxe de substituição de comando, por exemplo, $(...), os pesquisadores conseguiram executar comandos arbitrários.
"O comando é executado às cegas, então não é possível ver a saída do comando executado, mas é possível escrever um webshell em /var/www/shtml/", explicam os pesquisadores.
Vale notar que em um alerta há cerca de duas semanas, o CSIRT da Itália advertiu que um exploit já havia se tornado disponível.
De fato, foi descoberto que um pesquisador de segurança publicou em 10 de abril um PoC válido para
CVE-2024-2389
no X.
O número de instâncias do Flowmon expostas na web pública parece variar bastante dependendo do motor de busca.
No momento da publicação, uma olhada no motor de busca de ativos de rede Fofa mostra que há cerca de 500 servidores Flowmon expostos online.
Os motores de busca Shodan e Hunter veem menos de 100 instâncias.
A Progress Software atualizou o boletim de segurança pela última vez em 19 de abril, assegurando a seus clientes que não houve relatos de exploração ativa para
CVE-2024-2389
.
No entanto, abordar a questão atualizando para uma versão segura o mais rápido possível é crítico.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...