A Progress Software lançou uma emergência para abordar uma vulnerabilidade de gravidade máxima em seus produtos LoadMaster. A falha foi rastreada como CVE-2024-7591, que afeta seus produtos LoadMaster e LoadMaster Multi-Tenant (MT) Hypervisor.
Vulnerabilidade corrigida no LoadMaster
A vulnerabilidade é um problema de validação de entrada imprópria, que pode permitir que um invasor remoto não autenticado acesse a interface de gerenciamento do LoadMaster usando uma solicitação HTTP especialmente criada.
É possível que invasores remotos não autenticados que tenham acesso à interface de gerenciamento do LoadMaster emitam uma solicitação http cuidadosamente elaborada que permitirá que comandos arbitrários do sistema sejam executados.
Esta vulnerabilidade foi fechada ao sanitizar a entrada do usuário da solicitação para mitigar a execução arbitrária de comandos do sistema.
O Progress LoadMaster
Progress LoadMaster é um controlador de entrega de aplicativo (ADC) e balanceador de carga de alto desempenho, projetado para aprimorar a disponibilidade, escalabilidade, desempenho e segurança de aplicativos e sites críticos para os negócios.
A vulnerabilidade pode permitir que um invasor execute comandos arbitrários em sistemas afetados. Abaixo está a lista de versões de produtos afetadas:
Notícias Relacionadas
Violação de dados Temu
Temu nega violação de dados mesmo hacker alegando roubo
Mesmo depois de um hacker afirmar que roubou 87 milhões de registros de informações de clientes, a Temu nega ter sido hackeada ou sofrido uma violação de dados. Violação de dados Temu O agente da ameaça colocou os supostos dados à venda ontem no fórum de hackers BreachForums, junto com uma pequena amostra para servir […]
ataque EUCLEAK
Ataque EUCLEAK: falha expõe vulnerabilidade em YubiKey 5 e Lenovo, Dell e HP são impactados
Pesquisadores descobriram a vulnerabilidade EUCLEAK, que afeta YubiKey 5 e outros dispositivos com chips Infineon. O ataque permite a clonagem de chaves ECDSA, exigindo acesso físico ao dispositivo e equipamentos caros.
O Multi-Tenant LoadMaster (LoadMaster MT) é afetado caso a seguinte condição seja atendida: os VNFs individuais do LoadMaster instanciados são vulneráveis e devem ser corrigidos usando o complemento listado acima o mais rápido possível; observe que o hipervisor MT ou o nó do gerenciador também são vulneráveis e devem ser corrigidos usando o complemento listado acima o mais rápido possível.
Conforme relatado por um usuário nos comentários do aviso (Via: Security Affairs), o pacote complementar lançado pela Progress não permite a instalação na versão gratuita. A boa notícia é que o Progress não tem conhecimento de ataques explorando essa vulnerabilidade.
“Não recebemos nenhum relato de que essa vulnerabilidade tenha sido explorada e não temos conhecimento de nenhum impacto direto aos clientes”, afirma o aviso. “No entanto, estamos encorajando todos os clientes a atualizar suas implementações do LoadMaster o mais rápido possível para fortalecer seu ambiente.”
A Progress Software
A Progress Software Corporation é uma empresa pública americana que produz software para criar e implementar aplicativos de negócios. Fundada em Burlington, Massachusetts, com escritórios em 16 países, a empresa registrou receitas de US$ 531,3 milhões em 2021 e emprega aproximadamente 2.100 pessoas.
A Progress Software foi cofundada por vários graduados do MIT, incluindo Joseph W. Alsop, Clyde Kessel e Chip Ziering em 1981. Originalmente chamada de Data Language Corporation (DLC), a empresa mudou seu nome para Progress Software em 1987, o mesmo nome de seu principal produto, Progress. Em maio de 2016, a Progress Software mudou sua marca para “Progress” em um esforço para “acabar com quaisquer dúvidas de que não estava fazendo jus ao seu nome”.
Via: Security Affairs
