Uma grande falha de segurança, conhecida como CVE-2024-1212, foi descoberta no Progress Kemp LoadMaster. Esta vulnerabilidade permite que invasores não autorizados executem comandos do sistema através da interface de gerenciamento LoadMaster sem autenticação. Esta vulnerabilidade recebeu a classificação de gravidade mais alta, com pontuação de 10,0 na escala CVSS, colocando os usuários em um risco importante de exploração.
A vulnerabilidade explorada no LoadMaster coloca as redes em risco — Você já foi corrigido?
Rhino Security Labs tem anunciado que uma vulnerabilidade na implementação da API LoadMaster permite injeções de comandos de pré-autenticação. Para quem não conhece, o LoadMaster é um tipo de balanceador de carga disponível em diversas versões, com uma opção gratuita de uso popular. O problema surge quando as solicitações de API são feitas para os endpoints ‘/access’ e ‘/accessv2’. O servidor min-httpd processa solicitações de uma maneira que permite que dados manipulados pelo invasor sejam inseridos nos comandos do sistema.
Mais precisamente, se um hacker enviar um comando de ativação da API para o endpoint /access, o sistema ignorará etapas cruciais de verificação relacionadas ao status de ativação da API. Os dados são lidos diretamente do cabeçalho de autorização, permitindo ao invasor manipular o valor do ‘nome de usuário’. A string injetada é colocada na variável de ambiente REMOTE_USER e então passada para uma chamada system(), executando comandos no shell bash. Notavelmente, a suscetibilidade permanece ativa mesmo se a API estiver desligada, fornecendo uma gama perturbadoramente ampla de possíveis oportunidades de exploração.
Ao examinar esta vulnerabilidadenotou-se que o LoadMaster consiste em duas funções de API. A API v2 mais recente lida com solicitações de dados JSON usando o endpoint /accessv2. No entanto, há uma distinção clara. Simultaneamente, a variável de senha pode ser alterada. Antes de ser passada para o caminho de execução do comando vulnerável, a entrada é codificada em base64, evitando a exploração por meio deste método.
Além disso, uma correção foi aplicada para resolver as vulnerabilidades de segurança, encurtando as cadeias de entrada que incluem apóstrofos. Isso indica que quaisquer aspas possivelmente prejudiciais serão removidas antes que o sistema processe o comando, evitando tentativas de injeção.
A Agência de Segurança Cibernética e de Infraestrutura (CISA) recentemente atualizou a classificação de CVE-2024-1212 a uma vulnerabilidade conhecida que está a ser ativamente explorada, realçando ainda mais a urgência da situação. Desde que a vulnerabilidade foi encontrada, os hackers começaram a explorá-la em situações reais, destacando a importância das organizações utilizarem o Progress Kemp LoadMaster para instalar as atualizações fornecidas. A Progress Software corrigiu esta vulnerabilidade em fevereiro de 2024, embora o risco de exploração ainda seja significativo.
A CISA sugeriu que o Poder Executivo Civil Federal agências abordam esta vulnerabilidade até 9 de dezembro de 2024destacando a gravidade do problema. A agência alertou que, se explorados com sucesso, os invasores poderão obter acesso irrestrito à interface LoadMaster, permitindo-lhes manipular comportamentos de rede.
Além disso, esses avanços estão alinhados com avisos sobre mais pontos fracos, como os descobertos no VMware vCenter Server (CVE-2024-38812 e CVE-2024-38813). Estas vulnerabilidades ativamente exploradas realçam a necessidade das organizações de reforçarem as suas defesas de segurança cibernética. Usando ferramentas confiáveis como Tenable VM, Tenable SC e Tenable Nessus, os usuários podem proteger seus sistemas instalando patches imediatamente e conduzindo testes de vulnerabilidade.
Crédito da imagem: Furkan Demirkaya/IA de fluxo
O post Como os hackers podem controlar o LoadMaster sem autenticação apareceu pela primeira vez no TechBriefly.
Source: Como os hackers podem controlar o LoadMaster sem autenticação
