Progress Software, saldırganların cihazda uzaktan komut yürütmesine olanak tanıyan LoadMaster ve LoadMaster Multi-Tenant (MT) Hypervisor ürünlerini etkileyen maksimum (10/10) önem derecesine sahip güvenlik açığı için acil bir düzeltme yayınladı.
CVE-2024-7591 olarak izlenen bu kusur, kimliği doğrulanmamış uzak bir saldırganın özel olarak hazırlanmış bir HTTP isteği kullanarak LoadMaster’ın yönetim arayüzüne erişmesine olanak tanıyan uygunsuz bir giriş doğrulama sorunu olarak kategorize ediliyor.
Ancak kullanıcı girişi temizliğinin eksikliği, saldırganın güvenlik açığı bulunan uç noktalarda keyfi sistem komutları yürütmesine de olanak tanıyabilir.
Güvenlik bülteninde, “LoadMaster’ın yönetim arayüzüne erişimi olan kimliği doğrulanmamış uzak saldırganların, keyfi sistem komutlarının yürütülmesine izin verecek şekilde dikkatlice hazırlanmış bir HTTP isteği göndermesi mümkündür” ifadeleri yer alıyor.
“Bu güvenlik açığı, keyfi sistem komutlarının yürütülmesini azaltmak için istek kullanıcı girdisinin temizlenmesiyle kapatıldı.”
LoadMaster, büyük kuruluşlar tarafından uygulama performansını optimize etmek, ağ trafiğini yönetmek ve yüksek hizmet kullanılabilirliğini sağlamak için kullanılan bir uygulama dağıtım denetleyicisi (ADC) ve yük dengeleme çözümüdür.
MT Hypervisor, çok kiracılı ortamlar için tasarlanmış bir LoadMaster sürümüdür ve aynı donanımda birden fazla sanal ağ işlevinin çalışmasına olanak tanır.
CVE-2024-7591’in LoadMaster sürüm 7.2.60.0 ve önceki tüm sürümleri ve ayrıca MT Hypervisor sürüm 7.1.35.11 ve önceki tüm sürümleri etkilediği bulundu. Uzun Vadeli Destek (LTS) ve Özellikli Uzun Vadeli Destek (LTSF) dalları da etkilendi.
Bu açığı gidermek için Progress, eski sürümler de dahil olmak üzere güvenlik açığı bulunan tüm sürümlere yüklenebilen bir eklenti paketi yayınladı; bu nedenle bu güvenlik açığından kaynaklanan riski gidermek için yükseltilecek hedef sürüm bulunmuyor.
Ancak yama, LoadMaster’ın ücretsiz sürümüne uygulanmıyor, dolayısıyla CVE-2024-7591 orada da sorun olmaya devam ediyor.
Progress Software, bülteninin yayınlandığı tarih itibarıyla söz konusu güvenlik açığının etkin bir şekilde istismar edildiğine dair herhangi bir rapor almadıklarını belirtti.
Bununla birlikte, tüm LoadMaster kullanıcılarının eklentiyi kurma ve ayrıca satıcı tarafından önerilen güvenlik güçlendirme önlemlerini uygulama dahil olmak üzere ortamlarını bu olasılığa karşı güvence altına almak için uygun önlemleri almaları önerilir.