Se ha descubierto una falla de seguridad importante, conocida como CVE-2024-1212, en Progress Kemp LoadMaster. Esta vulnerabilidad permite a atacantes no autorizados ejecutar comandos del sistema a través de la interfaz de administración de LoadMaster sin autenticación. A esta vulnerabilidad se le ha otorgado la calificación de gravedad más alta, con una puntuación de 10,0 en la escala CVSS, lo que coloca a los usuarios en un riesgo importante de explotación.
La vulnerabilidad explotada en LoadMaster pone en riesgo las redes. ¿Ya está parcheado?
Rhino Security Labs ha anunciado que una vulnerabilidad en la implementación de la API LoadMaster permite inyecciones de comandos de autenticación previa. Para quienes no lo conocen, el LoadMaster es un tipo de balanceador de carga disponible en varias versiones, con una opción gratuita que se usa popularmente. El problema surge cuando las solicitudes de API se realizan a los puntos finales ‘/access’ y ‘/accessv2’. El servidor min-httpd procesa las solicitudes de una manera que permite insertar datos manipulados por el atacante en los comandos del sistema.
Más precisamente, si un pirata informático envía un comando de habilitación de API al punto final /access, el sistema omitirá los pasos de verificación cruciales relacionados con el estado habilitado de la API. Los datos se leen directamente desde el encabezado de Autorización, lo que permite al atacante manipular el valor del ‘nombre de usuario’. La cadena inyectada se coloca en la variable de entorno REMOTE_USER y luego se pasa a una llamada system(), ejecutando comandos en el shell bash. Sorprendentemente, la susceptibilidad permanece activa incluso si la API está desactivada, lo que proporciona una gama inquietantemente amplia de posibles oportunidades de explotación.
Al examinar esta vulnerabilidad, se observó que LoadMaster consta de dos funciones API. La última API v2 maneja solicitudes de datos JSON utilizando el punto final /accessv2. Sin embargo, hay una clara distinción. Al mismo tiempo, se puede modificar la variable de contraseña. Antes de pasar a la ruta de ejecución del comando vulnerable, la entrada se codifica en base64, lo que evita la explotación a través de este método.
Además, se ha aplicado una solución para abordar las vulnerabilidades de seguridad acortando las cadenas de entrada que incluyen apóstrofes. Esto indica que las comillas posiblemente dañinas se eliminan antes de que el sistema procese el comando, evitando intentos de inyección.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) actualizó recientemente la clasificación de CVE-2024-1212 a una vulnerabilidad conocida que está siendo explotada activamente, lo que resalta aún más la urgencia de la situación. Desde que se encontró la vulnerabilidad, los piratas informáticos comenzaron a explotarla en situaciones reales, lo que destaca la importancia de que las organizaciones utilicen Progress Kemp LoadMaster para instalar las actualizaciones proporcionadas. Progress Software solucionó esta vulnerabilidad en febrero de 2024, aunque el riesgo de que se explote sigue siendo significativo.
CISA ha sugerido que las agencias del Poder Ejecutivo Civil Federal aborden esta vulnerabilidad antes del 9 de diciembre de 2024, destacando la gravedad del problema. La agencia advirtió que, si se explota con éxito, los atacantes podrían obtener acceso ilimitado a la interfaz LoadMaster, lo que les permitiría manipular el comportamiento de la red.
Además, estos avances se alinean con advertencias sobre más debilidades, como las descubiertas en VMware vCenter Server (CVE-2024-38812 y CVE-2024-38813). Estas vulnerabilidades explotadas activamente resaltan la necesidad de las organizaciones de fortalecer sus defensas de ciberseguridad. Al utilizar herramientas confiables como Tenable VM, Tenable SC y Tenable Nessus, los usuarios pueden proteger sus sistemas instalando parches rápidamente y realizando pruebas de vulnerabilidad.
Crédito de imagen: Furkan Demirkaya/Flux AI
La publicación Cómo los piratas informáticos pueden controlar LoadMaster sin autenticación apareció por primera vez en TechBriefly.
Source: Cómo los piratas informáticos pueden controlar LoadMaster sin autenticación
