Progress LoadMaster Security Update: Multiple Vulnerabilities Addressed
2025/02/10 SecurityOnline — Progress LoadMaster と LoadMaster Multi-Tenant (MT) Hypervisor に影響を及ぼす、複数の脆弱性に対処するセキュリティ・アドバイザリが発行された。脆弱性 CVE-2024-56131/56132/56133/56134/56135 の悪用に成功した認証済の攻撃者は、任意のシステム・コマンド実行や、機密ファイルのダウンロードの可能性を手にする。
一連の脆弱性は、不適切な入力検証に起因しており、LoadMaster 管理インターフェイスにアクセス可能な攻撃者は、細工された HTTP リクエストを介して悪意のコマンドを挿入できる。
Progress のアドバイザリには、「LoadMaster の管理インターフェイスにアクセスして、認証に成功したリモートの攻撃者は、巧妙に細工された HTTP リクエストを発行し、任意のシステム・コマンド実行の可能性を得る」と記されている。
現時点において、これらの脆弱性が悪用されたという報告を受けていないと、Progress は述べている。その一方で、すべてのユーザーに対して、同社が強く推奨するのは、可能な限り早急に、LoadMaster を早くアップグレードすることだ。
影響を受ける LoadMaster のバージョンは、以下のとおりである:
- LoadMaster:バージョン 7.2.48.12 以下/7.2.49.0〜7.2.54.12/7.2.55.0〜7.2.60.1
- Multi-Tenant LoadMaster:バージョン 7.1.35.12 以下
影響を受ける、すべてのリリースに対して、パッチを適用したバージョンが提供されている。ユーザーにとって必要なことは、最新のファームウェアをダウンロードし、Progress Knowledge Base に記載されている手順に従ってインストールすることだ。
Multi-Tenant LoadMaster (LoadMaster MT) の場合には、インスタンス化された個々の LoadMaster VNF が脆弱であり、アドバイザリに記載されている LMOS バージョンにパッチを適用すべきである。MT Hypervisor および Manager Node も脆弱であるため、パッチが提供され次第、更新する必要がある。
すでに Progress は、入力サニタイズを実装し、これらの脆弱性を軽減している。それにより、任意のシステム・コマンド実行が防止されている。
Progress LoadMaster の複数の脆弱性が FIX しました。NVD で確認したところ、CVSS は全て 8.4 となっていました。ご利用のチームは、ご注意下さい。また、最近の Progress ですが、2025/02/04 に「Progress Telerik UI に存在する脆弱性 CVE-2019-18935:6年前の欠陥の悪用が判明」という記事をポストしています。Progress で検索と併せて、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.