Критическая уязвимость максимальной степени серьезности в решении для мониторинга производительности сети Progress Flowmon обрела общедоступный эксплойт и готова к массовой эксплуатации.

Так что полутора тысячам ее клиентам, включая SEGA, KIA, TDK, Volkswagen, Orange, Tietoevry и др., приготовиться.

Проблема отслеживается как CVE-2024-2389 и была обнаружена Rhino Security Labs.

Она позволяет посредством специального запроса API получить удаленный неаутентифицированный доступ к веб-интерфейсу Flowmon для выполнения произвольных системных команд.

Progress Software впервые предупредила об уязвимости 4 апреля, предупредив, что она затрагивает версии продукта v12.x и v11.x.

Клиентам было рекомендовано обновиться до последних версий: v12.3.4 и 11.1.14.

В свою очередь, Rhino Security Labs теперь представила технические подробности уязвимости, а также продемонстрировала, как можно с ее помощью внедрить веб-шелл и повысть привилегии до root.

При этом достичь выполнения произвольных команд им удалось, манипулируя pluginPath или параметрами файла и используя синтаксис подстановки команд, например $(...).

При это команда выполняется вслепую, поэтому невозможно увидеть вывод выполненной команды, но можно записать веб-шелл в /var/www/shtml/.

По сообщению итальянской CSIRT, эксплойт для CVE-2024-2389 стал доступен еще около двух недель назад.

Тем не менее, Progress Software заверяет своих клиентов об отсутствии опасений относительно эксплуатации CVE-2024-2389.

Но будем посмотреть.

SecAtor

Критическая уязвимость максимальной степени серьезности в решении для мониторинга производительности сети Progress Flowmon обрела общедоступный эксплойт и готова к массовой эксплуатации.

Так что полутора тысячам ее клиентам, включая SEGA, KIA, TDK, Volkswagen, Orange, Tietoevry и др., приготовиться.

Проблема отслеживается как CVE-2024-2389 и была обнаружена Rhino Security Labs.

Она позволяет посредством специального запроса API получить удаленный неаутентифицированный доступ к веб-интерфейсу Flowmon для выполнения произвольных системных команд.

Progress Software впервые предупредила об уязвимости 4 апреля, предупредив, что она затрагивает версии продукта v12.x и v11.x.

Клиентам было рекомендовано обновиться до последних версий: v12.3.4 и 11.1.14.

В свою очередь, Rhino Security Labs теперь представила технические подробности уязвимости, а также продемонстрировала, как можно с ее помощью внедрить веб-шелл и повысть привилегии до root.

При этом достичь выполнения произвольных команд им удалось, манипулируя pluginPath или параметрами файла и используя синтаксис подстановки команд, например $(...).

При это команда выполняется вслепую, поэтому невозможно увидеть вывод выполненной команды, но можно записать веб-шелл в /var/www/shtml/.

По сообщению итальянской CSIRT, эксплойт для CVE-2024-2389 стал доступен еще около двух недель назад.

Тем не менее, Progress Software заверяет своих клиентов об отсутствии опасений относительно эксплуатации CVE-2024-2389.

Но будем посмотреть.

Rhino Security Labs

CVE-2024-2389: Command Injection Vulnerability In Progress Flowmon - Rhino Security Labs

CVE-2024-2389 unauthenticated command injection vulnerability found in Progress Flowmon server.

hottg.com/true_secator/5675

8.1K viewsApr 25 at 08:20