Er is een groot beveiligingslek ontdekt, bekend als CVE-2024-1212, in de Progress Kemp LoadMaster. Door dit beveiligingslek kunnen ongeautoriseerde aanvallers systeemopdrachten uitvoeren via de LoadMaster-beheerinterface zonder authenticatie. Deze kwetsbaarheid heeft de hoogste ernstbeoordeling gekregen, met een score van 10,0 op de CVSS-schaal, waardoor gebruikers een groot risico lopen op misbruik.
Uitgebuite kwetsbaarheid in LoadMaster brengt netwerken in gevaar — Bent u al gepatcht?
Rhino Security Labs heeft aangekondigd dat een kwetsbaarheid in de implementatie van de LoadMaster API pre-authenticatie-opdrachtinjecties mogelijk maakt. Voor degenen die er niet bekend mee zijn, de LaadMaster is een type load balancer dat in verschillende versies beschikbaar is, met een gratis optie, en dat in de volksmond wordt gebruikt. Het probleem doet zich voor wanneer API-verzoeken worden gedaan aan de eindpunten ‘/access’ en ‘/accessv2’. De min-httpd-server verwerkt verzoeken op een manier die het mogelijk maakt dat door aanvallers gemanipuleerde gegevens in systeemopdrachten worden ingevoegd.
Om precies te zijn: als een hacker een enable API-opdracht naar het /access-eindpunt stuurt, zal het systeem cruciale verificatiestappen met betrekking tot de ingeschakelde status van de API omzeilen. De gegevens worden rechtstreeks uit de Authorization-header gelezen, waardoor de aanvaller de ‘gebruikersnaam’-waarde kan manipuleren. De geïnjecteerde string wordt in de omgevingsvariabele REMOTE_USER geplaatst en vervolgens doorgegeven aan een system()-aanroep, waarbij opdrachten in de bash-shell worden uitgevoerd. Opmerkelijk is dat de gevoeligheid actief blijft, zelfs als de API is uitgeschakeld, wat een verontrustend groot bereik oplevert mogelijke exploitatiemogelijkheden.
Tijdens het onderzoeken van deze kwetsbaarheidwerd opgemerkt dat de LoadMaster bestaat uit twee API-functies. De nieuwste v2 API verwerkt JSON-gegevensverzoeken met behulp van het /accessv2-eindpunt. Toch is er een duidelijk onderscheid. Tegelijkertijd kan de wachtwoordvariabele worden gewijzigd. Voordat de invoer wordt doorgegeven aan het kwetsbare pad voor het uitvoeren van opdrachten, wordt deze gecodeerd in base64, waardoor exploitatie via deze methode wordt voorkomen.
Bovendien is er een oplossing toegepast om de beveiligingsproblemen aan te pakken door invoerreeksen met apostrofs in te korten. Dit geeft aan dat eventuele schadelijke aanhalingstekens worden verwijderd voordat het systeem de opdracht verwerkt, waardoor injectiepogingen worden voorkomen.
Onlangs heeft de Cybersecurity and Infrastructure Security Agency (CISA) dit gedaan de classificatie verbeterd van CVE-2024-1212 tot een bekende kwetsbaarheid die actief wordt uitgebuit, wat de urgentie van de situatie nog eens onderstreept. Sinds de kwetsbaarheid werd gevonden, zijn hackers deze in daadwerkelijke situaties gaan misbruiken, wat het belang onderstreept van organisaties die Progress Kemp LoadMaster gebruiken om de geleverde updates te installeren. Progress Software heeft dit beveiligingslek in februari 2024 opgelost, hoewel het risico dat het wordt misbruikt nog steeds aanzienlijk is.
De CISA heeft gesuggereerd dat er een federale civiele uitvoerende macht bestaat Agentschappen pakken deze kwetsbaarheid uiterlijk 9 december 2024 aanwaarbij de ernst van het probleem wordt benadrukt. Het bureau waarschuwde dat aanvallers, als ze succesvol worden uitgebuit, onbeperkte toegang kunnen krijgen tot de LoadMaster-interface, waardoor ze netwerkgedrag kunnen manipuleren.
Bovendien komen deze verbeteringen overeen met waarschuwingen over meer zwakke punten, zoals ontdekt in de VMware vCenter Server (CVE-2024-38812 en CVE-2024-38813). Deze actief uitgebuit kwetsbaarheden benadrukken de noodzaak van organisaties om hun cyberbeveiligingsverdediging te versterken. Met behulp van betrouwbare tools zoals Tenable VM, Tenable SC en Tenable Nessus kunnen gebruikers hun systemen beveiligen door onmiddellijk patches te installeren en kwetsbaarheidstests uit te voeren.
Afbeelding tegoed: Furkan Demirkaya/Flux-AI
Het bericht Hoe hackers LoadMaster kunnen besturen zonder authenticatie verscheen voor het eerst op TechBriefly.
Source: Hoe hackers LoadMaster kunnen besturen zonder authenticatie