La Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis a ajouté trois nouvelles failles dans son catalogue de vulnérabilités exploitées connues (KEV), y compris une injection de commande critique du système d’exploitation ayant un impact sur Progress Kemp LoadMaster.
La faille, découverte par Rhino Security Labs et suivie comme CVE-2024-1212, a été corrigée via une mise à jour publiée le 21 février 2024. Cependant, il s’agit du premier signalement d’exploitation active à l’état sauvage.
« Progress Kemp LoadMaster contient une vulnérabilité d’injection de commandes du système d’exploitation qui permet à un attaquant distant non authentifié d’accéder au système via l’interface de gestion de LoadMaster, permettant l’exécution arbitraire de commandes système”, lit-on dans la description de la faille.
CVE-2024-1212 (score CVSS v3.1: 10,0, “critique”) affecte les versions du maître de chargement 7.2.48.1 avant 7.2.48.10, 7.2.54.0 avant 7.2.54.8 et 7.2.55.0 avant 7.2.59.2.
LoadMaster est un contrôleur de distribution d’applications (ADC) et une solution d’équilibrage de charge utilisés par les grandes organisations pour optimiser les performances des applications, gérer le trafic réseau et garantir une disponibilité élevée des services.
La CISA ordonne aux organisations fédérales utilisant le produit d’appliquer les mises à jour et les atténuations disponibles jusqu’au 9 décembre 2024, ou de cesser de l’utiliser.
Aucun détail sur l’activité d’exploitation active n’a été publié pour le moment, et le statut de son exploitation dans les campagnes de ransomware est marqué comme inconnu.
Les deux autres failles CISA ajoutées à KEV sont CVE-2024-0012 et CVE-2024-9474, contournement d’authentification et failles d’injection de commandes du système d’exploitation respectivement, affectant l’interface de gestion PAN-OS de Palo Alto Networks.
Progress Software a récemment corrigé une autre faille de gravité maximale dans les produits LoadMaster qui permet aux attaquants distants d’exécuter des commandes arbitraires sur l’appareil.
Identifiée comme CVE-2024-7591, la faille est classée comme un problème de validation d’entrée incorrecte permettant à un attaquant distant non authentifié d’accéder à l’interface de gestion de LoadMaster à l’aide d’une requête HTTP spécialement conçue.
CVE-2024-7591 affecte la version 7.2.60.0 de LoadMaster et toutes les versions précédentes, ainsi que la version 7.1.35.11 de l’hyperviseur MT et toutes les versions antérieures.
Cela dit, les administrateurs système cherchant à passer à une version sécurisée doivent passer à une version qui corrige les deux failles de gravité maximale dans LoadMaster, même si une exploitation active pour CVE-2024-7591 n’a pas encore été observée.