A Progress Software emitiu uma correção de emergência para uma vulnerabilidade de severidade máxima (10/10) que afeta seus produtos LoadMaster e LoadMaster Multi-Tenant (MT) Hypervisor, permitindo que atacantes executem comandos remotamente no dispositivo.
A falha, registrada como
CVE-2024-7591
, é categorizada como um problema de validação de entrada inadequada que permite a um atacante remoto não autenticado acessar a interface de gerenciamento do LoadMaster usando uma solicitação HTTP especialmente elaborada.
No entanto, a falta de saneamento das entradas do usuário também pode permitir ao atacante executar comandos arbitrários do sistema em pontos vulneráveis.
"É possível para atacantes remotos não autenticados que têm acesso à interface de gerenciamento do LoadMaster emitir uma solicitação HTTP cuidadosamente elaborada que permitirá a execução de comandos do sistema arbitrários", lê-se no boletim de segurança.
Esta vulnerabilidade foi fechada sanitizando a entrada de solicitação do usuário para mitigar a execução de comandos arbitrários do sistema.
O LoadMaster é um controlador de entrega de aplicativos (ADC) e solução de balanceamento de carga usada por grandes organizações para otimizar o desempenho de aplicativos, gerenciar o tráfego de rede e garantir alta disponibilidade de serviço.
O MT Hypervisor é uma versão do LoadMaster projetada para ambientes multi-tenant, permitindo que múltiplas funções de rede virtual rodem no mesmo hardware.
Descobriu-se que o
CVE-2024-7591
afeta a versão 7.2.60.0 do LoadMaster e todas as versões anteriores, bem como a versão 7.1.35.11 do MT Hypervisor e todos os lançamentos anteriores.
Ramos de Suporte de Longo Prazo (LTS) e Suporte de Longo Prazo com Recursos (LTSF) também são impactados.
Para corrigir a falha, a Progress lançou um pacote complementar que pode ser instalado em qualquer uma das versões vulneráveis, incluindo lançamentos mais antigos, de modo que não há versões alvo específicas para atualizar a fim de abordar o risco desta vulnerabilidade.
No entanto, o patch não se aplica à versão gratuita do LoadMaster, portanto, o
CVE-2024-7591
permanece um problema lá.
A Progress Software diz que não recebeu relatórios de exploração ativa da vulnerabilidade até a publicação de seu boletim.
No entanto, recomenda-se que todos os usuários do LoadMaster tomem as medidas adequadas para proteger seu ambiente contra essa possibilidade, incluindo a instalação do complemento e a implementação das medidas de endurecimento de segurança recomendadas pelo fornecedor.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...