Krytyczna luka RCE w Roxy-WI umożliwiająca zdalne wykonanie kodu przez HAProxy
Krytyczna luka w Roxy-WI pozwala na zdalne wykonanie kodu na load balancerze HAProxy. Sprawdź zalecenia bezpieczeństwa i działania administracyjne.
- CVSS
- 9.9 CRITICAL
- EPSS
- 35.22%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W Roxy-WI do wersji 8.2.6.4 i wcześniejszych, endpointy zapisujące konfigurację HAProxy akceptują niezwalidowane pole JSON, co pozwala uwierzytelnionym użytkownikom z rolą ≤ 3 na wstrzyknięcie dowolnych dyrektyw HAProxy. Skutkuje to zdalnym wykonaniem kodu na load balancerze jako użytkownik haproxy podczas każdego cyklu sprawdzania stanu.
Wpływ biznesowy
Luka o krytycznym poziomie CVSS 9.9 umożliwia atakującemu z dostępem użytkownika Roxy-WI przejęcie kontroli nad load balancerem poprzez zdalne wykonanie kodu. Może to prowadzić do poważnych zakłóceń w działaniu usług, wycieku danych lub dalszej eskalacji ataku w infrastrukturze. Brak publicznie dostępnych łatek zwiększa ryzyko wykorzystania tej luki w środowiskach produkcyjnych.
Rekomendowane działania administratora
Administratorzy powinni niezwłocznie przejrzeć konfiguracje Roxy-WI i ograniczyć dostęp do ról użytkowników do minimum. Zaleca się monitorowanie logów pod kątem nietypowych zmian konfiguracji HAProxy oraz rozważenie tymczasowego ograniczenia funkcji zapisu konfiguracji. Należy śledzić komunikaty producenta w celu wdrożenia dostępnych łatek i stosować ogólne zasady minimalizacji ekspozycji oraz segmentacji sieci.