PoC exploitot adtak ki a Flowmon súlyos biztonsági réséhez

A Flowmon egyesíti a teljesítménykövetést, a diagnosztikát, valamint a hálózati észlelési és válaszadási funkciókat. Az eszközt világszerte több mint 1500 vállalat használja, köztük a SEGA, a KIA és a TDK, a Volkswagen, az Orange és a Tietoevry.

A biztonsági probléma a maximális 10-es súlyossági pontszámmal rendelkezik, és CVE-2024-2389 néven követik nyomon.

A sebezhetőséget kihasználva egy speciálisan kialakított API kéréssel egy távoli, hitelesítés nélküli támadó hozzáférést szerezhet a Flowmon webes felületéhez, és tetszőleges rendszerparancsokat hajthat végre.

A Flowon fejlesztője, a Progress Software arra figyelmeztetett, hogy az a termék v12.x és v11.x verzióit érinti. A vállalat felszólította a rendszergazdákat, hogy frissítsenek a legújabb, v12.3.4 és 11.1.14 verzióra.

A biztonsági frissítés minden Flowmon ügyfél számára automatikusan, vagy akár manuálisan is elérhető a gyártó letöltőközpontjából. A Progress azt is ajánlotta, hogy ezt követően frissítsék az összes Flowmon modult.

A Rhino Security Labs közzétette a sebezhetőség technikai részleteit, valamint egy demó bemutatót, amely megmutatja, hogyan használhatja ki a támadó a problémát egy webshell telepítésére és a jogosultságok root szintig való kiterjesztésére. A kutatók kifejtik, hogy a “pluginPath” vagy a fájl paramétereinek manipulálásával tudtak rosszindulatú parancsokat beágyazni. A parancsok helyettesítésének szintaxisával , pl. $(…), a kutatók tetszőleges parancsfuttatást tudtak elérni. “A parancs úgy hajtódik végre, hogy nem lehet látni a kimenetét, de lehetséges webshellt írni a /var/www/shtml/-be” – magyarázzák a kutatók.

(bleepingcomputer.com)