美國網路安全暨基礎設施安全局(CISA)近期將三個資安漏洞新增至已知被利用漏洞(KEV)清單中,其中包含一個影響 Progress Kemp LoadMaster 的嚴重作業系統命令注入漏洞。
LoadMaster 是一套應用程式交付控制器(ADC)與負載平衡解決方案,專為大型組織設計,用於優化應用程式效能、管理網路流量,並確保服務的高可用性。
CVE-2024-1212 漏洞雖已於 2024 年 2 月 21 日修補完成,但近期首次在實際環境中被發現遭攻擊者利用。這個作業系統命令注入漏洞讓未經授權的遠端攻擊者能夠透過管理介面存取系統,並執行任意系統命令。
該漏洞的 CVSS v3.1 評分高達 10.0(最嚴重等級),受影響的 LoadMaster 版本包括:
- 7.2.48.1 至 7.2.48.10 之前的版本
- 7.2.54.0 至 7.2.54.8 之前的版本
- 7.2.55.0 至 7.2.59.2 之前的版本
CISA 要求使用該產品的聯邦組織必須在 2024 年 12 月 9 日前採用可用的更新和緩解措施,否則必須立即停止使用。
此外,CISA 也將兩個影響 Palo Alto Networks PAN-OS 管理介面的漏洞納入 KEV:CVE-2024-0012(身分驗證繞過漏洞)以及 CVE-2024-9474(作業系統命令注入漏洞)。
Progress Software 近期修復了 LoadMaster 產品中另一個具有最高風險等級的漏洞,該漏洞可讓遠端攻擊者在裝置上執行任意命令。
此漏洞(
CVE-2024-7591)源於輸入驗證不當,導致未經授權的遠端攻擊者可利用特製的 HTTP 請求存取 LoadMaster 的管理介面。此漏洞影響 LoadMaster 7.2.60.0 及更早版本,以及 MT Hypervisor 7.1.35.11 及更早版本。
儘管 CVE-2024-7591 目前尚未發現遭到主動利用,系統管理員在進行升級時,仍應選擇可同時修補這兩個最高風險等級漏洞的版本。
本文轉載自 BleepingComputer。