Krytyczna luka w ProxySQL umożliwiająca podszywanie się pod adresy IP klientów
Luka w ProxySQL pozwala na fałszowanie adresów IP klientów, co umożliwia obejście kontroli dostępu i reguł routingu. Aktualizuj do wersji 3.0.9.
- CVSS
- 10.0 CRITICAL
- EPSS
- 8.25%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W wersjach ProxySQL od 2.0.0 do 3.0.8 frontend MySQL błędnie parsuje nagłówki protokołu PROXY, pozwalając na fałszowanie adresów IP klientów. Atakujący mogą dzięki temu obejść reguły routingu i kontroli dostępu oparte na adresie klienta.
Wpływ biznesowy
Luka umożliwia atakującemu, który ma dostęp do portu frontendowego ProxySQL, podszywanie się pod dowolny adres IP klienta. W praktyce pozwala to na obejście mechanizmów rozdzielania ruchu, kontroli dostępu i reguł filtrowania zapytań, co może prowadzić do nieautoryzowanego dostępu do baz danych lub niewłaściwego kierowania zapytań. Organizacje korzystające z ProxySQL powinny traktować tę lukę jako krytyczną, zwłaszcza jeśli stosują reguły oparte na adresach IP.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie ProxySQL do wersji 3.0.9 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp do portu frontendowego ProxySQL wyłącznie do zaufanych sieci, przejrzeć i zweryfikować reguły routingu i kontroli dostępu oraz monitorować logi pod kątem podejrzanych aktywności związanych z fałszowaniem adresów IP.