bleepingcomputer網(wǎng)站消息，Progress Flowmon中存在一項(xiàng)嚴(yán)重安全漏洞，已發(fā)布概念驗(yàn)證利用代碼。

Progress Flowmon是一款用于監(jiān)控網(wǎng)絡(luò)性能和可見性的工具，結(jié)合了性能跟蹤、診斷以及網(wǎng)絡(luò)檢測和響應(yīng)功能。全球有超過1500家公司在使用，包括世嘉、起亞、TDK、大眾、Orange和Tietoevry。

這個(gè)安全問題是Rhino Security Labs的研究人員發(fā)現(xiàn)的，嚴(yán)重程度評分為10/10，目前被跟蹤為CVE-2024-2389。攻擊者利用該漏洞可以使用特制的API請求，在未經(jīng)身份驗(yàn)證的情況下遠(yuǎn)程訪問Flowmon網(wǎng)絡(luò)接口，并執(zhí)行任意系統(tǒng)命令。

Flowmon開發(fā)商Progress Software于4月4日首次提醒用戶注意該漏洞，并警告該漏洞會(huì)影響產(chǎn)品的v12.x和v11.x版本，公司敦促系統(tǒng)管理員升級(jí)到最新版本，即v12.3.4和11.1.14。

安全更新已通過“自動(dòng)包下載”系統(tǒng)或從供應(yīng)商的下載中心手動(dòng)向所有Flowmon客戶發(fā)布，Progress還建議隨后升級(jí)所有Flowmon模塊。

利用代碼已發(fā)布

Rhino Security Labs在最新報(bào)告中共布了有關(guān)該漏洞的技術(shù)細(xì)節(jié)，并演示了攻擊者如何利用該問題植入Webshell并提升權(quán)限至root的過程。

研究人員解釋說，攻擊者能夠通過操縱“pluginPath”或“file參數(shù)”來注入惡意命令。利用令替換語法，例如$(...)，研究人員也可以實(shí)現(xiàn)任意命令執(zhí)行。但該命令執(zhí)行是盲目的，無法查看執(zhí)行命令的輸出，不過可以將Webshell寫入/var/www/shtml/目錄中。

漏洞演示（來源：Rhino Security）

值得一提的是，大約兩周前，意大利的CSIRT發(fā)出警報(bào)稱已經(jīng)有可利用的漏洞。事實(shí)上，BleepingComputer發(fā)現(xiàn)，一位安全研究人員于4月10日發(fā)布了CVE-2024-2389的有效PoC。

Flowmon服務(wù)器暴露情況

根據(jù)搜索引擎的不同，公網(wǎng)上暴露的Flowmon實(shí)例數(shù)量似乎有很大的差異。

截至目前，F(xiàn)ofa網(wǎng)絡(luò)資產(chǎn)搜索引擎顯示，大約有500臺(tái)Flowmon服務(wù)器在線上暴露，而Shodan和Hunter搜索引擎則顯示少于100個(gè)實(shí)例。

4月19日，Progress Software在一份安全公告中向客戶保證，目前沒有關(guān)于CVE-2024-2389的主動(dòng)利用報(bào)告，但盡快升級(jí)到安全版本以解決這一問題至關(guān)重要。

參考來源：https://www.bleepingcomputer.com/news/security/maximum-severity-flowmon-bug-has-a-public-exploit-patch-now/