Kavram kanıtı, ağ performansını ve görünürlüğünü izlemek için bir araç olan Progress Flowmon'da en üst düzey güvenlik açığı için istismar kodu yayınlandı.
Progress Flowmon, performans izleme, teşhis ve ağ algılama ve yanıt özelliklerini birleştirir. Sega, Kia ve TDK, Volkswagen, Orange ve Tietoevry dahil olmak üzere dünya çapında 1.500'den fazla şirket tarafından kullanılmaktadır.
Güvenlik sorunu maksimum 10/10 şiddet puanı vardır ve Rhino Security Labs'taki araştırmacılar tarafından keşfedilmiştir. Şu anda CVE-2024-2389 olarak izlenmektedir.
Bir saldırgan, güvenlik açığından yararlanabilir, Flowmon Web arayüzüne uzak, kimlik doğrulanmamış erişim elde etmek ve keyfi sistem komutlarını yürütmek için özel olarak hazırlanmış bir API isteği kullanabilir.
Flowon Geliştirici İlerleme Yazılımı İlk olarak 4 Nisan'da kusur hakkında uyardı ve bunun V12.X ve V11.x ürününün sürümlerini etkilediğini söyledi. Şirket, System Adims'i en son sürümlere yükseltmeye çağırdı: V12.3.5 ve 11.1.14.
Güvenlik güncellemesi, 'Otomatik Paket İndir' sistemi aracılığıyla otomatik olarak veya satıcının indirme merkezinden manuel olarak otomatik olarak yayınlandı. İlerleme ayrıca tüm Flowmon modüllerinin daha sonra yükseltilmesini önerdi.
Bugünkü bir raporda, Rhino Security Labs, bir saldırganın bir webshell dikmek ve kökten ayrıcalıkları yükseltmek için sorunu nasıl kullanabileceğini gösteren bir demo ile birlikte güvenlik açığı için teknik detaylar yayınladı.
Araştırmacılar, kötü niyetli komutları gömmek için 'pluginpath' veya 'dosya parametrelerini' manipüle ederek komutlar enjekte edebildiklerini açıklıyor. Komut ikamesi sözdizimini kullanma, ör. $ (...), araştırmacılar keyfi komuta yürütme sağlayabilirler.
Araştırmacılar, "Komut körü körüne yürütülüyor, bu nedenle yürütülen komutun çıktısını görmek mümkün değil, ancak/var/www/shtml/adresine bir webshell yazmak mümkün."
Yaklaşık iki hafta önce bir uyarıda İtalya'nın CSIRT'nin bir istismarın zaten mevcut olduğu konusunda uyarıldığını belirtmek gerekir. Gerçekten de, BleepingComputer, bir güvenlik araştırmacının 10 Nisan'da X üzerinde CVE-2024-2389 için geçerli bir POC yayınladığını buldu.
Genel Web'de maruz kalan FlowMon örneklerinin sayısının arama motoruna bağlı olarak büyük ölçüde değiştiği görülmektedir.
Yayıncılık zamanında, ağ varlıkları için FOFA arama motoruna bir bakış, çevrimiçi olarak maruz kalan yaklaşık 500 Flowmon sunucusu olduğunu göstermektedir. Shodan ve Hunter arama motorları 100'den az örnek görüyor.
İlerleme yazılımı en son 19 Nisan'da güvenlik bültenini güncelledi ve müşterilerine CVE-2024-2389 için aktif sömürü raporu olmadığını garanti etti. Ancak, mümkün olan en kısa sürede güvenli bir versiyona yükselterek sorunu ele almak kritiktir.
Saldırılarda kullanılan Fortinet RCE Bug için piyasaya sürülen istismar, şimdi Patch
Yeni Ivanti RCE Kususu, 16.000 açıkta kalan VPN ağ geçitlerini etkileyebilir
Yeni Kritik TeamCity Auth Bypass hatası için kullanılabilir istismar, şimdi yama
1.400'den fazla crushftp sunucusu aktif olarak sömürülen hataya karşı savunmasız
Milyonlarca SQL enjeksiyon saldırısı tarafından vurulan WP otomatik WordPress eklentisi
Kaynak: Bleeping Computer