Progress LoadMaster vulnerable a la vulnerabilidad RCE con gravedad 10/10

Progress

Progreso

Progress Software ha lanzado un parche de emergencia para una vulnerabilidad de gravedad máxima (10/10) que afecta a sus productos LoadMaster y LoadMaster Multi-Tenant (MT) Hypervisor y que permite a los atacantes ejecutar comandos remotos en el dispositivo.

La falla, seguida como CVE-2024-7591se clasifica como un problema de validación de entrada incorrecta que permite a un atacante remoto no autenticado acceder a la interfaz de administración de LoadMaster mediante una solicitud HTTP diseñada.

Sin embargo, la falta de desinfección de las entradas del usuario también podría permitir al atacante ejecutar comandos arbitrarios del sistema en puntos finales vulnerables.

«Es posible que atacantes remotos no autenticados que tengan acceso a la interfaz de administración de LoadMaster emitan una solicitud HTTP cuidadosamente diseñada que permitirá la ejecución de comandos arbitrarios del sistema». lea el boletín de seguridad.

“Esta vulnerabilidad se cerró al desinfectar las consultas ingresadas por los usuarios para mitigar la ejecución de comandos arbitrarios del sistema. »

LoadMaster es un controlador de entrega de aplicaciones (ADC) y una solución de equilibrio de carga utilizada por grandes organizaciones para optimizar el rendimiento de las aplicaciones, gestionar el tráfico de red y garantizar una alta disponibilidad de los servicios.

MT Hypervisor es una versión de LoadMaster diseñada para entornos multiinquilino, que permite ejecutar múltiples funciones de red virtual en el mismo hardware.

Se descubrió que la vulnerabilidad CVE-2024-7591 afectaba a la versión 7.2.60.0 de LoadMaster y todas las versiones anteriores, así como a la versión 7.1.35.11 del hipervisor MT y todas las versiones anteriores. Las ramas de soporte a largo plazo (LTS) y soporte a largo plazo con funciones (LTSF) también se ven afectadas.

Para corregir la falla, Progress lanzó un paquete complementario que se puede instalar en cualquiera de las versiones vulnerables, incluidas las versiones anteriores, por lo que no existe una versión de destino a la que actualizar para responder al riesgo vinculado a esta vulnerabilidad.

Sin embargo, la solución no se aplica a la versión gratuita de LoadMaster, por lo que CVE-2024-7591 sigue siendo un problema allí.

Progress Software dice que no ha recibido ningún informe de explotación activa de la vulnerabilidad al momento de publicar su boletín.

No obstante, se recomienda a todos los usuarios de LoadMaster que tomen las medidas adecuadas para proteger su entorno contra esta posibilidad, incluida la instalación del complemento y la implementación de las recomendaciones del proveedor. medidas de mejora de la seguridad.