CVE-2025-1758: Critical Buffer Overflow in Kemp LoadMaster Opens Door to Remote Code Execution
2025/03/23 SecurityOnline — Progress Software の Kemp LoadMaster に、深刻度の高い脆弱性が発見された。人気の ADC (Application Delivery Controller)/Load Balancer である Kemp LoadMaster は、重要な Web アプリケーションのパフォーマンスとセキュリティを確保するものであり、ユーザー企業からの信頼を得ている。
そのスタックバッファ・オーバーフローの脆弱性 CVE-2025-1758 (CVSS:9.8) は、データ入力操作を処理する LoadMaster のコンポーネントである、”mangle” 実行ファイルに存在する。具体的に言うと、この問題は、ユーザーが入力したデータの長さを適切に検証することなく、固定長のスタックバッファにコピーすることに起因する。
この見落としにより、未認証のリモート攻撃者であっても、脆弱なシステム上で任意のコード実行の機会を得てしまう。この悪用は bal ユーザーのコンテキストで発生し、攻撃者にるコンフィグの改竄/機密データの窃取/操作の妨害などにいたる可能性がある。
エンタープライズ・アプリケーション向けに提供される Kemp LoadMaster は、SSL オフロード/コンテンツ・スイッチング/URL 書き換え/圧縮を提供する、高性能の ADC (Application Delivery Controller) である。その役割として挙げられるのは、稼働時間の改善/コンテンツ配信の高速化/高可用性を備えたアプリケーション・トラフィックの管理といった重要なものばかりである。
この脆弱性は、脆弱な “mangle” コンポーネントを取り込んでいる、LoadMaster のバージョン 7.2.61.1 未満に影響を及ぼす。また、この欠陥を悪用する攻撃では、認証が必要とされないため、日和見的な攻撃者や APT グループにとって、きわめて魅力的なターゲットとなっている。
この脆弱性は、Trend Micro Security Research の Nicholas Zubrisky (@NZubrisky) により適切に開示されたものだ。
すでに Progress Software は、LoadMaster 7.2.61.1 をリリースし、この脆弱性を修正している。ユーザー組織に対して強く推奨されるのは、最新バージョンへの速やかなアップデートである。
Progress Kemp LoadMaster に深刻な脆弱性が発生しています。同製品では、昨年の 2月にも深刻な脆弱性 CVE-2024-1212 (CVSS 10) が発生し、修正の翌月には実際の攻撃が観測されました。今回の脆弱性も、未認証で悪用可能な危険なものです。ご利用のチームは、迅速なアップデートを、ご検討ください。よろしければ、以下の関連記事も、Progress で検索と併せてご利用ください。
2024/11/19:Kemp LoadMaster の脆弱性が CISA KEV に登録
2024/03/28:Kemp Loadmaster の脆弱性:積極的な悪用を検出?
2024/02/21:Kemp LoadMaster の脆弱性 CVE-2024-1212 が FIX
IoT OT Security News 
You must be logged in to post a comment.