聚焦源代码安全,网罗国内外最新资讯!
Progress Flowmon 具有性能追踪、诊断及网络检测和响应特性,客户遍布全球1500多家企业,包括 SEGA、起亚、TDK、大众、Orange和Tietoevry等。
该漏洞的编号是CVE-2024-2389,CVSS评分为10分,由Rhino 安全实验室的研究人员发现。攻击者可通过特殊构造的API请求获得对 Flowmon web 接口的未认证访问权限,利用该漏洞执行任意系统命令。Flowon 的开发者 Progress Software 公司最初在4月4日提醒注意该漏洞,指出它影响 v12.x和v11.x版本。该公司督促系统管理员升级至最新版本 v12.3.4和11.1.14。
安全更新已通过“自动包下载”系统或厂商下载中心的自动和手动方式发布。Progress软件公司也建议升级所有 Flowmon 模块。
Rhino 安全实验室在今天发布了该漏洞的技术详情以及演示,展示了攻击者如何利用该漏洞植入 webshell 并提权至 root。
研究人员解释称,他们能够操纵 “pluginPath” 或“文件参数”注入命令以嵌入恶意命令。通过命令替换语句如 $(…),研究人员可实现任意命令执行。他们解释称,“命令盲目执行,因此无法看到所执行命令的输出,但可以将webshell写入 /var/www/shtml/。”
值得注意的是,意大利CSIRT 在约两周前提醒称,利用代码已出现。一名研究员曾在4月10日发布有效的 PoC。
遭暴露的 Flowmon 实例似乎取决于搜索引擎。
在本文发布之时,Fofa 搜索引擎显示约有500台 Flowmon 服务器被暴露在网络;Shodan和Hunter搜索显示少于100台。4月19日,Progress软件公司发布安全公告向客户保证称并未发现利用该漏洞的证据。然而,应当尽快更新至安全版本至关重要。
Synology 修复严重的VPN路由器漏洞,CVSS评分10分
https://www.bleepingcomputer.com/news/security/maximum-severity-flowmon-bug-has-a-public-exploit-patch-now/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~