Une faille de sécurité majeure, connue sous le nom de CVE-2024-1212, a été découverte dans Progress Kemp LoadMaster. Cette vulnérabilité permet à des attaquants non autorisés d’exécuter des commandes système via l’interface de gestion LoadMaster sans authentification. Cette vulnérabilité a reçu l’indice de gravité le plus élevé, avec un score de 10,0 sur l’échelle CVSS, ce qui expose les utilisateurs à un risque d’exploitation important.
Une vulnérabilité exploitée dans LoadMaster met les réseaux en danger — Avez-vous déjà mis à jour les correctifs ?
Rhino Security Labs a annoncé qu’une vulnérabilité dans l’implémentation de l’API LoadMaster permet des injections de commandes de pré-authentification. Pour ceux qui ne le connaissent pas, le Maître de chargement est un type d’équilibreur de charge disponible en différentes versions, avec une option gratuite couramment utilisée. Le problème survient lorsque des requêtes API sont adressées aux points de terminaison « /access » et « /accessv2 ». Le serveur min-httpd traite les requêtes de manière à permettre aux données manipulées par un attaquant d’être insérées dans les commandes système.
Plus précisément, si un pirate informatique envoie une commande d’activation de l’API au point de terminaison /access, le système contournera les étapes de vérification cruciales concernant l’état activé de l’API. Les données sont lues directement à partir de l’en-tête Authorization, permettant à l’attaquant de manipuler la valeur « username ». La chaîne injectée est placée dans la variable d’environnement REMOTE_USER, puis transmise à un appel system(), exécutant des commandes dans le shell bash. Remarquablement, la susceptibilité reste active même si l’API est désactivée, offrant ainsi une gamme d’informations extrêmement large et inquiétante. possibilités d’exploitation possibles.
En examinant cette vulnérabilitéil a été noté que le LoadMaster se compose de deux fonctions API. La dernière API v2 gère les requêtes de données JSON à l’aide du point de terminaison /accessv2. Il existe néanmoins une distinction claire. Simultanément, la variable de mot de passe peut être modifiée. Avant d’être transmise au chemin d’exécution de commande vulnérable, l’entrée est codée en base64, empêchant toute exploitation via cette méthode.
De plus, un correctif a été appliqué pour remédier aux failles de sécurité en raccourcissant les chaînes d’entrée contenant des apostrophes. Cela indique que tous les guillemets potentiellement dangereux sont supprimés avant que le système ne traite la commande, empêchant ainsi les tentatives d’injection.
L’Agence de cybersécurité et de sécurité des infrastructures (CISA) a récemment amélioré le classement de CVE-2024-1212 à une vulnérabilité connue qui est activement exploitée, soulignant encore davantage l’urgence de la situation. Depuis que la vulnérabilité a été découverte, les pirates ont commencé à l’exploiter dans des situations réelles, soulignant l’importance pour les organisations d’utiliser Progress Kemp LoadMaster pour installer les mises à jour fournies. Progress Software a corrigé cette vulnérabilité en février 2024, même si le risque d’exploitation reste important.
La CISA a suggéré que le pouvoir exécutif civil fédéral les agences corrigent cette vulnérabilité d’ici le 9 décembre 2024soulignant la gravité du problème. L’agence a averti que s’ils étaient exploités avec succès, les attaquants pourraient obtenir un accès illimité à l’interface LoadMaster, leur permettant ainsi de manipuler les comportements du réseau.
De plus, ces avancées s’alignent sur les avertissements concernant davantage de faiblesses, telles que celles découvertes dans VMware vCenter Server (CVE-2024-38812 et CVE-2024-38813). Ces vulnérabilités activement exploitées mettent en évidence la nécessité pour les organisations de renforcer leurs défenses en matière de cybersécurité. Grâce à des outils fiables tels que Tenable VM, Tenable SC et Tenable Nessus, les utilisateurs peuvent protéger leurs systèmes en installant rapidement des correctifs et en effectuant des tests de vulnérabilité.
Crédit image: Fourkan Demirkaya/Flux IA
Le message Comment les pirates peuvent contrôler LoadMaster sans authentification apparaît en premier sur TechBriefly.
Source: Comment les pirates peuvent contrôler LoadMaster sans authentification
