İlerleme yazılımı, saldırganların cihazdaki komutları uzaktan yürütmesine izin veren LoadMaster ve LoadMaster Multi-Kireli (MT) hipervizör ürünlerini etkileyen maksimum (10/10) ciddiyet güvenlik açığı için acil bir düzeltme yayınladı.
CVE-2024-7591 olarak izlenen kusur, kimlik doğrulanmamış, uzaktan saldırganın özel hazırlanmış bir HTTP isteği kullanarak LoadMaster'ın yönetim arayüzüne erişmesine izin veren yanlış bir giriş doğrulama problemi olarak kategorize edilir.
Bununla birlikte, kullanıcı giriş sterizizasyonunun eksikliği, saldırganın savunmasız uç noktalar üzerinde keyfi sistem komutları yürütmesine izin verebilir.
Güvenlik bültenini, "LoadMaster'ın yönetim arayüzüne erişimi olan kimlik doğrulanmamış, uzak saldırganların, keyfi sistem komutlarının yürütülmesine izin verecek özenle hazırlanmış bir HTTP isteği yayınlamak mümkündür."
Diyerek şöyle devam etti: "Bu güvenlik açığı, keyfi sistem komutlarının yürütülmesini azaltmak için istek kullanıcı girişini dezenfekte ederek kapatıldı."
LoadMaster, büyük kuruluşlar tarafından uygulama performansını optimize etmek, ağ trafiğini yönetmek ve yüksek hizmet kullanılabilirliği sağlamak için kullanılan bir uygulama dağıtım denetleyicisi (ADC) ve yük dengeleme çözümüdür.
MT hipervizörü, çok kiracılı ortamlar için tasarlanmış ve aynı donanımda birden fazla sanal ağ işlevinin çalışmasına izin veren bir LoadMaster sürümüdür.
CVE-2024-7591'in LoadMaster sürüm 7.2.60.0 ve önceki tüm sürümleri ve ayrıca MT Hypervisor sürüm 7.1.35.11 ve önceki tüm sürümleri etkilediği bulunmuştur. Uzun vadeli destek (LTS) ve özellik (LTSF) dalları ile uzun vadeli destek de etkilenir.
Kusuru düzeltmek için Progress, eski sürümler de dahil olmak üzere savunmasız sürümlerden herhangi birine yüklenebilen bir eklenti paketi yayınladı, bu nedenle bu güvenlik açığından elde edilen riski ele almak için yükseltilmesi gereken bir hedef versiyon yok.
Ancak, yama LoadMaster'ın ücretsiz sürümü için geçerli değildir, bu nedenle CVE-2024-7591 orada bir sorun olmaya devam etmektedir.
İlerleme yazılımı, bülteninin yayınlanması itibariyle güvenlik açığı için herhangi bir aktif sömürü raporu almadığını söylüyor.
Bununla birlikte, tüm LoadMaster kullanıcılarının, eklentinin kurulması ve ayrıca satıcının önerilen güvenlik sertleştirme önlemlerinin uygulanması da dahil olmak üzere ortamlarını bu olasılıklara karşı güvence altına almak için uygun önlemleri almaları önerilir.
Apache, Critical ofBiz Uzaktan Kod Yürütme Güvenlik Açığı
Veeam, yedekleme ve çoğaltma yazılımında kritik RCE kusurunu uyarıyor
D-Link, DIR-846W yönlendiricilerinde dört RCE kusurunu düzeltmediğini söylüyor
SolarWinds, tüm Web Yardım Masası sürümlerini etkileyen kritik RCE hatasını düzeltir
Cisco, hayatın sonunda kritik RCE sıfır günlerini uyarıyor IP telefonları
Kaynak: Bleeping Computer