Im Progress Kemp LoadMaster wurde eine große Sicherheitslücke entdeckt, bekannt als CVE-2024-1212. Diese Schwachstelle ermöglicht es unbefugten Angreifern, Systembefehle ohne Authentifizierung über die LoadMaster-Verwaltungsschnittstelle auszuführen. Diese Schwachstelle wurde mit einem Wert von 10,0 auf der CVSS-Skala mit dem höchsten Schweregrad bewertet, wodurch Benutzer einem erheblichen Risiko einer Ausnutzung ausgesetzt sind.
Ausgenutzte Schwachstelle in LoadMaster gefährdet Netzwerke – Sind Sie bereits gepatcht?
Rhino Security Labs hat angekündigt dass eine Schwachstelle in der Implementierung der LoadMaster-API Befehlsinjektionen vor der Authentifizierung ermöglicht. Für diejenigen, die damit nicht vertraut sind: LoadMaster ist eine Art Load Balancer, der in verschiedenen Versionen verfügbar ist, wobei eine kostenlose Option häufig verwendet wird. Das Problem tritt auf, wenn API-Anfragen an die Endpunkte „/access“ und „/accessv2“ gestellt werden. Der min-httpd-Server verarbeitet Anfragen so, dass vom Angreifer manipulierte Daten in Systembefehle eingefügt werden können.
Genauer gesagt: Wenn ein Hacker einen API-Aktivierungsbefehl an den /access-Endpunkt sendet, umgeht das System wichtige Überprüfungsschritte bezüglich des Aktivierungsstatus der API. Die Daten werden direkt aus dem Authorization-Header gelesen, sodass der Angreifer den Wert „Benutzername“ manipulieren kann. Die eingefügte Zeichenfolge wird in die Umgebungsvariable REMOTE_USER eingefügt und dann an einen system()-Aufruf übergeben, der Befehle in der Bash-Shell ausführt. Bemerkenswert ist, dass die Anfälligkeit auch dann aktiv bleibt, wenn die API ausgeschaltet ist, was eine beunruhigend große Bandbreite an Möglichkeiten bietet mögliche Verwertungsmöglichkeiten.
Bei der Untersuchung dieser SchwachstelleEs wurde festgestellt, dass der LoadMaster aus besteht zwei API-Funktionen. Die neueste v2-API verarbeitet JSON-Datenanfragen über den Endpunkt /accessv2. Dennoch gibt es eine klare Unterscheidung. Gleichzeitig kann die Passwortvariable geändert werden. Bevor die Eingabe an den anfälligen Befehlsausführungspfad übergeben wird, wird sie in Base64 codiert, um eine Ausnutzung durch diese Methode zu verhindern.
Darüber hinaus wurde ein Fix angewendet, um die Sicherheitslücken zu schließen, indem Eingabezeichenfolgen, die Apostrophe enthalten, gekürzt wurden. Dies weist darauf hin, dass alle möglicherweise schädlichen Anführungszeichen entfernt werden, bevor das System den Befehl verarbeitet, wodurch Injektionsversuche verhindert werden.
Die Cybersecurity and Infrastructure Security Agency (CISA) kürzlich die Klassifizierung verbessert von CVE-2024-1212 auf eine bekannte Sicherheitslücke, die aktiv ausgenutzt wird, was die Dringlichkeit der Situation noch deutlicher macht. Seitdem die Schwachstelle entdeckt wurde, haben Hacker damit begonnen, sie in realen Situationen auszunutzen, was die Bedeutung der Verwendung von Progress Kemp LoadMaster für Unternehmen zur Installation der bereitgestellten Updates unterstreicht. Progress Software hat diese Schwachstelle im Februar 2024 behoben, obwohl das Risiko einer Ausnutzung immer noch erheblich ist.
CISA hat die zivile Exekutive des Bundes vorgeschlagen Agenturen beheben diese Schwachstelle bis zum 9. Dezember 2024was die Schwere des Problems hervorhebt. Die Behörde warnte davor, dass Angreifer bei erfolgreicher Ausnutzung uneingeschränkten Zugriff auf die LoadMaster-Schnittstelle erhalten und so das Netzwerkverhalten manipulieren könnten.
Darüber hinaus gehen diese Fortschritte mit Warnungen vor weiteren Schwachstellen einher, wie sie beispielsweise im VMware vCenter Server entdeckt wurden (CVE-2024-38812 und CVE-2024-38813). Diese aktiv ausgenutzten Schwachstellen verdeutlichen, dass Unternehmen ihre Cybersicherheitsabwehr stärken müssen. Mit zuverlässigen Tools wie Tenable VM, Tenable SC und Tenable Nessus können Benutzer ihre Systeme durch die zeitnahe Installation von Patches und die Durchführung von Schwachstellentests schützen.
Bildnachweis: Furkan Demirkaya/Fluss-KI
Der Beitrag „Wie Hacker LoadMaster ohne Authentifizierung steuern können“ erschien zuerst auf TechBriefly.
Source: Wie Hacker LoadMaster ohne Authentifizierung steuern können
