Ciberseguridad 360 | Vulnerabilidad RCE de máxima gravedad descubierta en Progress LoadMaster

Progress Software ha publicado una correcci�n de emergencia para una vulnerabilidad de gravedad m�xima (10/10) que afecta a sus productos LoadMaster y LoadMaster Multi-Tenant (MT) Hypervisor y que permite a los atacantes ejecutar remotamente comandos en el dispositivo.

El fallo, rastreado como CVE-2024-7591, se clasifica como un problema de validaci�n de entrada incorrecta que permite a un atacante remoto no autenticado acceder a la interfaz de gesti�n de LoadMaster mediante una solicitud HTTP especialmente dise�ada.

Sin embargo, la falta de validaci�n de la entrada del usuario tambi�n podr�a permitir al atacante ejecutar comandos arbitrarios del sistema en los terminales vulnerables.

�Es posible que atacantes remotos no autentificados que tengan acceso a la interfaz de gesti�n de LoadMaster emitan una petici�n HTTP cuidadosamente elaborada que permita la ejecuci�n de comandos arbitrarios del sistema�, menciona el bolet�n de seguridad.

�Esta vulnerabilidad se ha cerrado saneando la entrada del usuario de la solicitud para mitigar la ejecuci�n de comandos arbitrarios del sistema�.

LoadMaster es un controlador de entrega de aplicaciones (ADC) y una soluci�n de balanceo de carga utilizada por grandes organizaciones para optimizar el rendimiento de las apps, gestionar el tr�fico de red y garantizar una alta disponibilidad del servicio.

El Hipervisor MT es una versi�n de LoadMaster dise�ada para entornos multiusuario, que permite ejecutar m�ltiples funciones de red virtual en el mismo hardware.

Se descubri� que CVE-2024-7591 afecta a LoadMaster versi�n 7.2.60.0 y todas las versiones anteriores, y tambi�n a MT Hypervisor versi�n 7.1.35.11 y todas las versiones anteriores. Las ramas Long-Term Support (LTS) y Long-Term Support with Feature (LTSF) tambi�n est�n afectadas.

Para corregir el fallo, Progress ha publicado un paquete complementario que puede instalarse en cualquiera de las versiones vulnerables, incluidas las versiones anteriores, por lo que no hay versiones objetivo a las que actualizar para hacer frente al riesgo de esta vulnerabilidad.

Sin embargo, el parche no se aplica a la versi�n gratuita de LoadMaster, por lo que CVE-2024-7591 sigue siendo un problema all�.

Progress Software dice que no ha recibido ning�n informe de explotaci�n activa de la vulnerabilidad hasta la publicaci�n de su bolet�n.

No obstante, se recomienda a todos los usuarios de LoadMaster que tomen las medidas oportunas para proteger su entorno frente a esta posibilidad, incluida la instalaci�n del complemento y la aplicaci�n de las medidas de refuerzo de la seguridad recomendadas por el proveedor.

Fuente: bleepingcomputer