Progress Software は、同社の LoadMaster および LoadMaster Multi-Tenant (MT) ハイパーバイザー製品に影響する最大 (10/10) の深刻度を持つ脆弱性の緊急修正を発表しました。
CVE-2024-7591として追跡されているこの欠陥は、不適切な入力検証の問題として分類され、認証されていないリモートの攻撃者が、特別に細工されたHTTPリクエストを使用してLoadMasterの管理インターフェイスにアクセスできるようにします。
しかし、ユーザー入力のサニタイズが行われていないため、攻撃者は脆弱なエンドポイント上で任意のシステムコマンドを実行することも可能です。
「認証されていないリモートの攻撃者が、LoadMaster の管理インターフェースにアクセスし、慎重に細工した HTTP リクエストを発行することで、任意のシステムコマンドを実行させることが可能です。
“この脆弱性は、任意のシステム・コマンドの実行を緩和するために、リクエスト・ユーザー入力をサニタイズすることで解消されている。”
LoadMasterは、アプリのパフォーマンスを最適化し、ネットワーク・トラフィックを管理し、高いサービス可用性を確保するために、大規模な組織で使用されているアプリケーション・デリバリ・コントローラ(ADC)とロード・バランシング・ソリューションです。
MT Hypervisor は、マルチテナント環境向けに設計された LoadMaster のバージョンで、複数の仮想ネットワーク機能を同じハードウェア上で実行できるようにします。
CVE-2024-7591は、LoadMasterバージョン7.2.60.0とそれ以前のすべてのバージョン、およびMT Hypervisorバージョン7.1.35.11とそれ以前のすべてのリリースに影響を与えることが判明しています。Long-Term Support (LTS) および Long-Term Support with Feature (LTSF) ブランチも影響を受けます。
この不具合を修正するために、Progress社は、旧リリースを含む、脆弱性のあるどのバージョンにもインストール可能なアドオンパッケージをリリースしました。
ただし、このパッチはLoadMasterの無償版には適用されないため、CVE-2024-7591は依然として問題である。
Progress Software社によると、この脆弱性を悪用したアクティブな報告は、このニュースレターが発行された時点では受けていないとのことだ。
とはいえ、すべてのLoadMasterユーザーは、アドオンをインストールし、ベンダーが推奨するセキュリティ強化策を実施するなど、この可能性に対して環境を保護するための適切な措置を取ることが推奨される。
Comments