Progress Flowmon: критическая брешь открывает хакерам двери в 1500+ компаний

Экспертами безопасности была выявлена критическая уязвимость в инструменте мониторинга сетевой производительности Flowmon от Progress Software, который используется более чем в 1500 компаниями по всему миру, включая такие крупные организации, как SEGA, KIA и Volkswagen.

Уязвимость получила максимальную оценку серьёзности по шкале CVSS: 10 из 10 баллов. Она была обнаружена специалистами из Rhino Security Labs и зарегистрирована под номером CVE-2024-2389.

Уязвимость позволяет атакующему использовать специально сформированный API-запрос для получения удалённого доступа к веб-интерфейсу Flowmon без аутентификации и выполнения произвольных системных команд.

Разработчик программы, компания Progress Software, впервые сообщила о проблеме 4 апреля, предупредив, что ошибка касается версий продукта v12.x и v11.x. Специалисты рекомендуют клиентам обновить свои системы до последних релизов v12.3.5 и v11.1.14.

Обновление безопасности уже было выпущено для всех клиентов Flowmon. Получить его можно как автоматически, так и вручную из центра загрузки разработчика. После этого компания советует обновить все модули Flowmon.

Rhino Security Labs опубликовала технические подробности уязвимости вместе с демонстрацией, показывающей, как злоумышленник может использовать проблему для внедрения веб-шелла и повышения привилегий до уровня root. Исследователи смогли выполнить произвольное выполнение команд, манипулируя параметрами «pluginPath» или «file».

Стоит отметить, что около двух недель назад итальянские специалисты CSIRT уже предупреждали, что данный эксплойт стал доступен. По общедоступной информации, действующий PoC для CVE-2024-2389 был опубликован 10 апреля.

Количество доступных в Интернете серверов Flowmon значительно варьируется в зависимости от выбранной поисковой системы. По данным поисковика Fofa, в сети находится около 500 серверов Flowmon, тогда как сервисы Shodan и Hunter показывают менее 100.

Последнее обновление бюллетеня безопасности от Progress Software было 19 апреля. Компания заверила своих клиентов, что активных эксплуатаций CVE-2024-2389 не зарегистрировано, однако призвала обновить системы до безопасной версии как можно скорее.