Kemp’in LoadMaster Yük Dengeleyicisinde, komut enjeksiyon saldırısı aracılığıyla tüm sistemin ele geçirilmesine izin veren kritik bir güvenlik açığı keşfedildi.
CVE-2024-7591 olarak tanımlanan bu güvenlik açığı, 7.2.60.0 dahil olmak üzere tüm LoadMaster sürümlerini ve ayrıca 7.1.35.11 sürümüne kadar çok kiracılı hipervizörleri etkiliyor.
Güvenlik açığı, Kemp LoadMaster’ın Web Kullanıcı Arayüzü’nde (WUI), özellikle oturum açma işleminde bulunmaktadır.
Kimlik doğrulama gerektirmez ve WUI’ye erişimi olan herkes tarafından uzaktan kullanılabilir.
Insinuator’daki güvenlik araştırmacıları, kusurun oturum açma işlevindeki giriş temizleme işleminin yetersiz olmasından kaynaklandığını ve saldırganların sisteme rastgele komutlar enjekte etmesine ve yürütmesine olanak tanıdığını belirledi.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.
Teknik Analiz
Güvenlik açığı, yaygın olarak kullanılan bir yük dengeleme uygulaması olan Kemp LoadMaster’a odaklanan bir güvenlik araştırma projesi sırasında ortaya çıkarıldı.
Araştırmacı, yazılımın dosya sistemini inceleyerek ve WUI’yi destekleyen komut dosyalarını analiz ederek sorunu belirledi.
WUI komut dosyaları BASH’de yazılır ve /usr/wui/progs dizininde bulunur ve oturum açma işlemi, /progs/status/login’e bir POST isteği içerir. Bunun yanı sıra, savunmasız kod, read_pass işlevindedir ve uygun giriş temizliği olmadan bir eval ifadesini kullanır.
Yararlanma süreci, sistemin girdi işleme mekanizmalarını atlayan özel olarak biçimlendirilmiş bir veri yükünün oluşturulmasını içerir. Bir saldırgan, pass_read işlevine girişi değiştirerek ve base64_encode işlevindeki bir boşluktan yararlanarak hedef sistemde rastgele komutlar yürütebilir.
Bu güvenlik açığı, saldırganların yük dengeleyici üzerinde tam kontrol sahibi olmasına olanak tanıdığı için Kemp LoadMaster’ın etkilenen sürümlerini kullanan kuruluşlar için önemli bir risk oluşturuyor.
Bu potansiyel olarak şunlara yol açabilir: –
Aşağıda tam açıklama zaman çizelgesinden bahsettik: –
- 29 Temmuz 2024: Güvenlik açığı Kemp’e bildirildi
- 30 Temmuz 2024: Kemp, alındıyı kabul etti ve sorumlu ekibe iletti
- 6 Eylül 2024: Kemp, sabit sürümleri yayınladı ve CVE-2024-75911’i yayınladı
- 27 Kasım 2024: Güvenlik açığının kamuya açıklanması
Kemp LoadMaster kullanan kuruluşlara, bu kritik güvenlik açığından yararlanma olasılığına karşı sistemlerini değerlendirmeleri ve gerekli güncellemeleri uygulamaları tavsiye edilir.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın