شرکت Progress چندین آسیب پذیری بحرانی را که محصولات LoadMaster آن از جمله هایپروایزر MT (یا چند مستاجری[1]) را تحت تأثیر قرار میدهند، فاش کرده است.
LoadMaster محصولی از شرکت Progress میباشد که به عنوان یک Application Delivery Controller (ADC) یا Load Balancer شناخته میشود. این محصول وظیفه توزیع ترافیک شبکه بین چندین سرور را بر عهده دارد تا عملکرد، قابلیت اطمینان و امنیت برنامههای تحت وب و سرویسهای شبکه را بهبود بخشد.
این آسیب پذیریها که به ترتیب با شناسههای CVE-2024-56131، CVE-2024-56132، CVE-2024-56133، CVE-2024-56134 و CVE-2024-56135 دنبال میشوند، به مهاجمان اجازه میدهند تا دستورات سیستمی دلخواه را از راه دور اجرا کنند و یا به فایلهای حساس دست یابند.
هر پنج آسیب پذیری ناشی از اعتبارسنجی نادرست ورودیها در اینترفیس مدیریت LoadMaster میباشند. مهاجمان احراز هویت شده میتوانند از این آسیب پذیریها سوءاستفاده کنند و با ارسال درخواستهای HTTP خاص، دستورات دلخواه سیستم عامل (OS) را اجرا نمایند.
همانطور که اشاره شد، علت اصلی این آسیب پذیریها، عدم بررسی کافی ورودیهای کاربر میباشند که شرکت Progress آن را در آخرین بهروزرسانیهای فریمور با پیادهسازی مکانیزمهای اعتبارسنجی ورودی قویتر برطرف کرده است.
این آسیب پذیریها تمامی نسخههای فعلی LoadMaster و نسخههای خاصی از هایپروایزر MT آن را تحت تأثیر قرار میدهند. در زیر خلاصهای از نسخههای آسیب پذیر و پچ آنها ارائه شده است:
محصول | نسخههای آسیب پذیر | نسخههای پچ شده | تاریخ انتشار |
LoadMaster | از نسخه ۷.۲.۵۵.۰ تا ۷.۲.۶۰.۱ | ۵ فوریه ۲۰۲۵ | |
| از نسخه ۷.۲.۴۹.۰ تا ۷.۲.۵۴.۱۲ | ۵ فوریه ۲۰۲۵ | |
| 7.2.48.12 و تمام نسخه های قبلی | ۵ فوریه ۲۰۲۵ | |
Multi-Tenant LoadMaster | 7.1.35.12 و تمام نسخه های قبلی | ۵ فوریه ۲۰۲۵ |
به منظور پچ این آسیب پذیریها، نسخههای فریمور اصلاح شده را از Progress Knowledge Base یا پورتال رسمی پشتیبانی آن دانلود و نصب کنید. لازم به ذکر است که این نرم افزارها در ایران نیز مورد استفاده قرار میگیرند. از این رو، میبایست بصورت ویژه مورد توجه قرار گیرند.
اگرچه تاکنون هیچ گزارشی مبنی بر اکسپلویت این آسیب پذیریها منتشر نشده است، اما از مشتریان آن خواسته میشود که فوراً سیستمهای خود را بهروزرسانی کنند تا از خطرات احتمالی آتی جلوگیری به عمل آورند.
[1] Multi-Tenant
