Progress Software a publié un correctif d’urgence pour une vulnérabilité de gravité maximale (10/10) affectant ses produits d’hyperviseur LoadMaster et LoadMaster Multi-Tenant (MT) qui permet aux attaquants d’exécuter à distance des commandes sur l’appareil.
La faille, identifiée comme CVE-2024-7591, est classée comme un problème de validation d’entrée incorrecte permettant à un attaquant distant non authentifié d’accéder à l’interface de gestion de LoadMaster à l’aide d’une requête HTTP spécialement conçue.
Cependant, l’absence de nettoyage des entrées utilisateur pourrait également permettre à l’attaquant d’exécuter des commandes système arbitraires sur des points de terminaison vulnérables.
« Il est possible pour des attaquants distants non authentifiés qui ont accès à l’interface de gestion de LoadMaster d’émettre une requête HTTP soigneusement conçue qui permettra l’exécution de commandes système arbitraires », lit-on dans le bulletin de sécurité.
« Cette vulnérabilité a été corrigée en nettoyant les entrées utilisateur des requêtes pour atténuer l’exécution arbitraire des commandes système. »
LoadMaster est un contrôleur de distribution d’applications (ADC) et une solution d’équilibrage de charge utilisés par les grandes organisations pour optimiser les performances des applications, gérer le trafic réseau et garantir une disponibilité élevée des services.
L’hyperviseur MT est une version de LoadMaster conçue pour les environnements multi-locataires, permettant à plusieurs fonctions de réseau virtuel de s’exécuter sur le même matériel.
Il a été constaté que CVE-2024-7591 avait un impact sur la version 7.2.60.0 de LoadMaster et toutes les versions précédentes, ainsi que sur l’hyperviseur MT version 7.1.35.11 et toutes les versions antérieures. Les branches de support à long terme (LTS) et de Support à Long terme avec fonctionnalité (LTSF) sont également affectées.
Pour corriger la faille, Progress a publié un package complémentaire qui peut être installé sur n’importe laquelle des versions vulnérables, y compris les versions plus anciennes, de sorte qu’il n’y a pas de versions cibles vers lesquelles mettre à niveau afin de gérer le risque lié à cette vulnérabilité.
Cependant, le correctif ne s’applique pas à la version gratuite de LoadMaster, donc CVE-2024-7591 reste un problème là-bas.
Progress Software dit n’avoir reçu aucun rapport d’exploitation active de la vulnérabilité au moment de la publication de son bulletin.
Néanmoins, il est recommandé à tous les utilisateurs de LoadMaster de prendre les mesures appropriées pour sécuriser leur environnement contre cette possibilité, y compris l’installation du module complémentaire et la mise en œuvre des mesures de renforcement de la sécurité recommandées par le fournisseur.