CVE-2024-1212 として知られる重大なセキュリティ上の欠陥が、Progress Kemp LoadMaster で発見されました。この脆弱性により、権限のない攻撃者が認証なしで LoadMaster 管理インターフェイスを介してシステム コマンドを実行できます。この脆弱性には、CVSS スケールで 10.0 という最高の重大度評価が与えられており、ユーザーが悪用される重大なリスクにさらされています。
LoadMaster の脆弱性が悪用され、ネットワークが危険にさらされる — パッチはもう適用されましたか?
Rhino Security Labs は、LoadMaster API の実装の脆弱性により、事前認証コマンド インジェクションが可能であることを発表しました。馴染みのない方のために説明すると、LoadMaster はロード バランサーの一種であり、さまざまなバージョンがあり、無料のオプションも広く使用されています。この問題は、API リクエストが「/access」および「/accessv2」エンドポイントに対して行われるときに発生します。 min-httpd サーバーは、攻撃者が操作したデータをシステム コマンドに挿入できる方法でリクエストを処理します。
より正確には、ハッカーが API 有効化コマンドを /access エンドポイントに送信すると、システムは API の有効化ステータスに関する重要な検証手順をバイパスします。データは Authorization ヘッダーから直接読み取られるため、攻撃者は「username」値を操作できます。挿入された文字列は REMOTE_USER 環境変数に配置され、system() 呼び出しに渡されて、bash シェルでコマンドを実行します。注目すべきことに、API がオフになっている場合でも脆弱性はアクティブなままであり、驚くほど広範な悪用の機会が提供されます。
この脆弱性を調査しているときに、LoadMaster が 2 つの API 関数で構成されていることがわかりました。最新の v2 API は、/accessv2 エンドポイントを使用して JSON データ リクエストを処理します。それにもかかわらず、明確な違いがあります。同時に、パスワード変数を変更できます。脆弱なコマンド実行パスに渡される前に、入力は Base64 でエンコードされ、この方法による悪用を防ぎます。
さらに、アポストロフィを含む入力文字列を短縮することでセキュリティの脆弱性に対処する修正が適用されました。これは、システムがコマンドを処理する前に有害な可能性のある引用符が削除され、挿入の試行が防止されることを示します。
サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は最近、CVE-2024-1212 の分類を、積極的に悪用されている既知の脆弱性に格上げし、状況の緊急性をさらに強調しました。この脆弱性が発見されて以来、ハッカーが実際の状況でこの脆弱性を悪用し始めており、組織が Progress Kemp LoadMaster を利用して提供されたアップデートをインストールすることの重要性が強調されています。 Progress Software は 2024 年 2 月にこの脆弱性を修正しましたが、悪用されるリスクは依然として大きいです。
CISAは、連邦文民行政府機関が2024年12月9日までにこの脆弱性に対処するよう提案し、問題の深刻さを強調している。同当局は、悪用に成功すると、攻撃者がロードマスターインターフェースに無制限にアクセスし、ネットワークの動作を操作できるようになる可能性があると警告した。
さらに、これらの進歩は、VMware vCenter Server で発見された脆弱性 (CVE-2024-38812 および CVE-2024-38813) など、さらなる脆弱性に関する警告と一致しています。これらの脆弱性が積極的に悪用されていることから、組織はサイバーセキュリティ防御を強化する必要があることが浮き彫りになっています。 Tenable VM、Tenable SC、Tenable Nessus などの信頼できるツールを使用すると、ユーザーはパッチを迅速にインストールし、脆弱性テストを実施することでシステムを保護できます。
画像クレジット:フルカン・デミルカヤ/Flux AI
この投稿「ハッカーが認証なしで LoadMaster を制御する方法」は、最初に TechBriefly に掲載されました。
Source: ハッカーが認証なしで LoadMaster を制御する方法