CVE-2024-7591 (CVSS 10): Critical Vulnerability Discovered in Progress LoadMaster
2024/09/05 SecurityOnline — Progress が発表したセキュリティ・アドバイザリは、ADC (Application Delivery Controller)/ロードバランサー LoadMaster の脆弱性 CVE-2024-7591 (CVSS:10) に関するものである。この脆弱性の悪用に成功した未認証のリモート攻撃者は、LoadMaster の管理インターフェイスを通じて、任意のシステム・コマンドを実行する機会を手にする。
LoadMaster とは
高性能な ADC/ロードバランサー である LoadMaster は、重要なアプリや Web サイトの可用性/スケーラビリティ/パフォーマンス/セキュリティなどを保証するよう設計され、業界を問うことなく広く利用されている。しかし、先日に発見された脆弱性により、パッチ適用を怠るバージョンを使用するユーザーには、重大なセキュリティ・リスクが生じることになる。
脆弱性 CVE-2024-7591 について
この脆弱性は不適切な入力検証に起因するものであり、悪用に成功した攻撃者は、LoadMaster の管理インターフェイスを標的として細工された、HTTP リクエストを介して OS コマンドの注入が可能になる。この欠陥により、攻撃者は認証を必要とすることなく、基盤となる OS 上でコマンドの実行を可能にする。現時点において、悪用の報告は確認されていないが、この問題は極めて重大なものであり。そのため、Progress は全ての顧客に対して、速やかにシステムにパッチを適用するよう強く促している。
脆弱性 CVE-2024-7591 は、以下の製品とバージョンに影響をおよぼす:
- LoadMaster 7.2.60.0 以下
- Multi-Tenant Hypervisor 7.1.35.11 以下
この脆弱性は、Multi-Tenant LoadMaster (LoadMaster MT) に対して、具体的にはインスタンス化された個々の LoadMaster VNF/MT hypervisor/Manager Node に対しても影響を及ぼす。これらのコンポーネントに速やかにパッチを適用し、潜在的な悪用を防ぐ必要がある。
緩和策とパッチ
Progress がリリースしたアドオン・パッケージは、ユーザー入力のサニタイズにより任意のコマンド実行を防ぐことで、脆弱性 CVE-2024-7591 に対処するものだ。このパッケージはダウンロードが可能であり、LoadMaster の全バージョンに適用できる。
パッチに関しては、LoadMaster の UI 上の [System Configuration > System Administration > Update Software] からインストールできる。
上記のパッケージは、以下のリンクからダウンロードできる:
Progress は、積極的な悪用の報告は受けていないと述べている。しかし、この脆弱性は極めて重大なものであり、パッチ適用が遅れた組織には、深刻なセキュリティ・リスクが生じる可能性がある。IT 管理者とセキュリティ・チームは、以下の対応を速やかに取るべきである:
- 影響を受ける全てのシステムに対して、ただちにアドオン・パッチを適用する。
- 全ての LoadMaster システムに対して、最新のセキュリティ修正パッチを適用する。
- ネットワーク・トラフィックを監視し、悪用の試みの兆候である異常な動きの有無を確認する。
上記のパッチ適用などに加えて、重要インフラの継続的な安全性を確保するために推奨されるのは、定期的なセキュリティ監査と脆弱性の評価の実施である。
Progress の LoadMaster に発生した新たな脆弱性 CVE-2024-7591 は、OS コマンドの注入を許す恐れのある、CVSS 値 10.0 という深刻なものです。したがって、速やかな対策の実施が強く求められています。なお、2024/02/21 にも CVSS 10.0 の脆弱性 CVE-2024-1212 が発見されており、翌月には悪用が観測されています。よろしければ、Progress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.