Критическая уязвимость максимальной степени серьезности в решении для мониторинга производительности сети Progress Flowmon обрела общедоступный эксплойт и готова к массовой эксплуатации.
Так что полутора тысячам ее клиентам, включая SEGA, KIA, TDK, Volkswagen, Orange, Tietoevry и др., приготовиться.
Проблема отслеживается как CVE-2024-2389 и была обнаружена Rhino Security Labs.
Она позволяет посредством специального запроса API получить удаленный неаутентифицированный доступ к веб-интерфейсу Flowmon для выполнения произвольных системных команд.
Progress Software впервые предупредила об уязвимости 4 апреля, предупредив, что она затрагивает версии продукта v12.x и v11.x.
Клиентам было рекомендовано обновиться до последних версий: v12.3.4 и 11.1.14.
В свою очередь, Rhino Security Labs теперь представила технические подробности уязвимости, а также продемонстрировала, как можно с ее помощью внедрить веб-шелл и повысть привилегии до root.
При этом достичь выполнения произвольных команд им удалось, манипулируя pluginPath или параметрами файла и используя синтаксис подстановки команд, например $(...).
При это команда выполняется вслепую, поэтому невозможно увидеть вывод выполненной команды, но можно записать веб-шелл в /var/www/shtml/.
По сообщению итальянской CSIRT, эксплойт для CVE-2024-2389 стал доступен еще около двух недель назад.
Тем не менее, Progress Software заверяет своих клиентов об отсутствии опасений относительно эксплуатации CVE-2024-2389.
Но будем посмотреть.
>>Click here to continue<<