Top severity Flowmon vulnerability gets public exploit, patch now

ネットワーク・パフォーマンスと可視性を監視するツールである Progress Flowmon の最高レベルのセキュリティ脆弱性に対する概念実証済みのエクスプロイト・コードが公開されました。

Progress Flowmonは、パフォーマンスの追跡、診断、ネットワークの検出と対応機能を兼ね備えています。このツールは、セガ、KIA、TDK、フォルクスワーゲン、オレンジ、Tietoevryなど、世界中の1,500以上の企業で使用されています。

このセキュリティ問題は最大深刻度10/10で、Rhino Security Labsの研究者によって発見された。現在、CVE-2024-2389として追跡されている。

攻撃者は、この脆弱性を悪用することで、特別に細工されたAPIリクエストを使用し、Flowmonウェブインターフェースへの認証されていないリモートアクセスを取得し、任意のシステムコマンドを実行することができます。

Flowonの開発元であるProgress Software社は、4月4日にこの欠陥について初めて警告を発し、製品v12.xおよびv11.xのバージョンに影響を及ぼすと警告した。

このセキュリティアップデートは、「自動パッケージダウンロード」システムを通じて自動的に、またはベンダーのダウンロードセンターから手動で、すべてのFlowmon顧客にリリースされた。また、Progressでは、その後、すべてのFlowmonモジュールをアップグレードすることを推奨している。

利用可能なエクスプロイトコード

本日、Rhino Security Labsはレポートの中で、この脆弱性に関する技術的な詳細と、攻撃者がこの問題を悪用してWebシェルを作成し、権限をrootに昇格させる方法を示すデモを公開した。

研究者は、悪意のあるコマンドを埋め込むために’pluginPath’または’file parameters’を操作することによってコマンドを注入することができたと説明している。コマンド置換構文、例えば$(…)を使用することで、研究者は任意のコマンドを実行することができた。

「コマンドはブラインドで実行されるため、実行されたコマンドの出力を見ることはできませんが、/var/www/shtml/にウェブシェルを書き込むことは可能です」と研究者は説明している。

Gif
エクスプロイトのデモ
Rhino Security

注目すべきは、2週間ほど前にイタリアのCSIRTが、すでに悪用が可能になっていると警告したことだ。実際、あるセキュリティ研究者が4月10日にX上でCVE-2024-2389の有効なPoCを公開していた。

公開されたFlowmonサーバー

公開されているFlowmonインスタンスの数は、検索エンジンによって大きく異なるようだ。

公開時点で、ネットワーク資産の検索エンジンFofaを見ると、オンラインで公開されているFlowmonサーバーは約500台である。Shodanと Hunterの検索エンジンでは、100件以下となっている。

Progress Softwareは4月19日にセキュリティ情報を更新し、CVE-2024-2389を悪用したアクティブな報告はないと顧客に保証した。しかし、できるだけ早く安全なバージョンにアップグレードしてこの問題に対処することが重要である。