Un code d’exploit de validation de principe a été publié pour une vulnérabilité de sécurité de gravité maximale en cours Flowmon, un outil de surveillance des performances et de la visibilité du réseau.

Progress Flowmon combine des fonctionnalités de suivi des performances, de diagnostic, de détection et de réponse du réseau. Il est utilisé par plus de 1 500 entreprises à travers le monde, dont SEGA, KIA et TDK, Volkswagen, Orange et Tietoevry.

Le problème de sécurité a un score de gravité maximal de 10/10 et a été découvert par des chercheurs des Laboratoires de sécurité de Rhino. Il est actuellement suivi comme CVE-2024-2389.

Un attaquant exploitant la vulnérabilité peut utiliser une requête d’API spécialement conçue pour obtenir un accès distant non authentifié à l’interface Web Flowmon et exécuter des commandes système arbitraires.

Flowon Developer Progress Software a d’abord alerté sur la faille le 4 avril, avertissant qu’elle affectait les versions du produit v12.x et v11.x. La société a exhorté les administrateurs système à passer aux dernières versions, v12.3. 4 et 11.1.14.

La mise à jour de sécurité a été diffusée à tous les clients Flowmon soit automatiquement via le système de « Téléchargement automatique des packages », soit manuellement à partir du centre de téléchargement du fournisseur. Progress a également recommandé de mettre à niveau tous les modules Flowmon par la suite.

Code d’exploitation disponible
Dans un rapport publié aujourd’hui, Rhino Security Labs a publié des détails techniques sur la vulnérabilité ainsi qu’une démonstration montrant comment un attaquant pourrait exploiter le problème pour installer un shell Web et augmenter les privilèges de root.

Les chercheurs expliquent qu’ils ont pu injecter des commandes en manipulant le « pluginPath » ou les « paramètres de fichier » pour intégrer des commandes malveillantes. En utilisant la syntaxe de substitution de commande, par exemple $(…), les chercheurs pourraient réaliser une exécution de commande arbitraire.

« La commande s’exécute aveuglément, il n’est donc pas possible de voir la sortie de la commande exécutée, mais il est possible d’écrire un shell Web dans /var/www/shtml/ », expliquent les chercheurs.

Démo d’exploit

Il convient de noter que dans une alerte il y a environ deux semaines, le CSIRT italien a averti qu’un exploit était déjà disponible. En effet, Breachtrace a constaté qu’un chercheur en sécurité avait publié le 10 avril un PoC valide pour CVE-2024-2389 sur X.

Serveurs Flowmon exposés
Le nombre d’instances Flowmon exposées sur le Web public semble varier considérablement en fonction du moteur de recherche.

Au moment de la publication, un coup d’œil sur le moteur de recherche Fofa pour les actifs réseau montre qu’il y a environ 500 serveurs Flowmon exposés en ligne. Les moteurs de recherche Shodan et Hunter voient moins de 100 instances.

Le 19 avril, Progress Software dans un bulletin de sécurité a assuré à ses clients qu’il n’y avait aucun rapport d’exploitation active de CVE-2024-2389. Cependant, il est essentiel de résoudre le problème en passant à une version sécurisée dès que possible.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *