Krytyczna luka OS Command Injection w produktach Progress ADC
Krytyczna luka OS Command Injection w Progress ADC pozwala na zdalne wykonanie kodu na LoadMaster. Zalecane szybkie działania zabezpieczające.
- CVSS
- 9.6 CRITICAL
- EPSS
- 97.97%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W produktach Progress ADC wykryto krytyczną lukę OS Command Injection w API, umożliwiającą zdalne wykonanie kodu. Atakujący bez uwierzytelnienia może wykonać dowolne polecenia na urządzeniu LoadMaster, wykorzystując nieoczyszczone dane wejściowe w wielu punktach końcowych.
Wpływ biznesowy
Luka ta stanowi poważne zagrożenie dla bezpieczeństwa infrastruktury IT, gdyż pozwala na przejęcie kontroli nad urządzeniem LoadMaster bez konieczności uwierzytelniania. Może to prowadzić do przerwania działania usług, wycieku danych lub dalszej eskalacji ataku w sieci. Operatorzy powinni traktować tę lukę jako wysokiego priorytetu do natychmiastowego zaadresowania.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od producenta Progress ADC. Do czasu wdrożenia łat należy ograniczyć dostęp do interfejsów API LoadMaster tylko do zaufanych sieci oraz monitorować logi pod kątem podejrzanej aktywności. Warto również przeprowadzić przegląd konfiguracji i wdrożyć dodatkowe mechanizmy kontroli dostępu.