Une nouvelle faille de sécurité critique a été corrigée par Progress Software dans ses produits « LoadMaster « Multi-Tenant Hypervisor ». 100 000 entreprises sont potentiellement vulnérables. Faisons le point.
Ces dernières années, le produit MOVEit Transfer de Progress Software a été impacté à plusieurs reprises par des failles de sécurité importantes. Mais, cette fois-ci, il n’est pas concerné. Ce sont des produits de chez Kemp, une entreprise acquise par Progress Software il y a quelques années, qui sont concernés.
Associée à la référence CVE-2024-7591, cette faille de sécurité majeure (score CVSS de 10 sur 10) est présente dans les produits LoadMaster et Multi-Tenant Hypervisor de l’éditeur. À en croire que le site de Progress Software, il s’agit d’une solution populaire puisqu’il y aurait plus de 100 000 déploiements à l’échelle mondiale. Elle est notamment utilisée pour effectuer de l’équilibrage de charge sur un service ou une application.
En exploitant cette vulnérabilité, un attaquant non authentifié peut exécuter des commandes système à distance. Pour cela, il doit émettre une requête HTTP spécifique sur l’interface de management de la solution LoadMaster.
Comment se protéger ? Qui est affecté ?
Des patchs de sécurité sont disponibles depuis le 3 septembre 2024. « Cette vulnérabilité a été comblée par l’assainissement des entrées utilisateur afin d’éviter l’exécution de commandes système arbitraires.« , peut-on lire dans le bulletin de sécurité.
En ce qui concerne les versions affectées, voici ce qu’il faut savoir :
- LoadMaster : 7.2.60.0 et toutes les versions antérieures
- Multi-Tenant Hypervisor : 7.1.35.11 et toutes les versions antérieures
Le bulletin de sécurité contient des liens de téléchargement vers les paquets de mise à jour. « Le module d’extension peut être installé sur n’importe quelle version du LoadMaster, même si le support de l’unité a expiré.« , peut-on lire. Il peut être installé sur toutes les instances, peu importe la version majeure utilisée. Néanmoins, ce correctif ne serait pas disponible pour la version gratuite de LoadMaster, ce qui pose un problème de sécurité important.
Pour le moment, cette vulnérabilité ne serait pas exploitée dans le cadre d’attaques, mais la situation pourrait évoluer. A suivre.