Loadbalancer: Sicherheitslücken in Loadmaster von Progress/Kemp
In der Loadbalancer-Software Loadmaster von Progress/Kemp klaffen Sicherheitslücken, durch die Angreifer etwa Befehle einschleusen können.
Ein zügiges Update ist anzuraten.
(Bild: Shutterstock/chanpipat)
In der Loadbalancing-Software Kemp Loadmaster von Progress klaffen zwei Sicherheitslücken. Aktualisierungen stehen für die Software bereit. IT-Verantwortliche sollten sie so schnell wie möglich installieren, empfiehlt der Hersteller.
In einem Support-Artikel warnt Progress/Kemp vor den beiden Sicherheitslücken. Authentifizierte Nutzer mit beliebigen Rechten können Befehle in einer nicht näher erläuterten Komponente der Bedienoverfläche einschleusen, die ans Betriebssystem durchgereicht werden (CVE-2024-2448, CVSS 8.4, Risiko "hoch"). Aufgrund einer Cross-Site-Request-Forgery-Lücke können bösartige Akteure authentifizierte Admin-User auf externe Websites umleiten. Dadurch könnten externe Webseiten Schadocde unterschieben, der im Kontext der angegriffenen Administratoren ausgeführt wird (CVE-2024-2449, CVSS 7.5, hoch).
Progress: Lücken noch nicht angegriffen
Im Support-Artikel schreiben die Entwickler, dass zum jetzigen Zeitpunkt keine Berichte vorliegen, dass diese Schwachstellen in freier Wildbahn ausgenutzt würden. Auch habe man keine Kenntnis über Einschränkungen bei Kunden dadurch. "Dennoch ermutigen wir alle Kunden, ihre Loadmaster-Implementierung so schnell wie möglich zu aktualisieren, um ihre IT-Umgebung zu härten", schreiben die Mitarbeiter weiter.
Betroffen sind Loadmaster 7.2.48.10, 7.2.49.0 bis einschließlich 7.2.54.8 sowie 7.2.55 bis einschließlich 7.2.59.2 und jeweils ältere. Die Versionen 7.2.48.11 (LTS), 7.2.54.9 (LTSF) und 7.2.59.3 (GA) korrigieren die Lücken. Die Multi-Tenant-Software Loadmaster MT ist bis einschließlich 7.1.35.10 verwundbar, auf dem Stand 7.1.35.11 (MT) und neuer hingegen abgesichert. Eine Anleitung von Progress/Kemp soll IT-Verantwortliche bei der Aktualisierung unter die Arme greifen.
Software von Progress steht häufiger im Visier von Cyberkriminellen. Im vergangenen Jahr gelang es der Cybergang Cl0p, global im großen Maßstab sensible Daten aufgrund von Sicherheitslücken in MoveIt Transfer zu kopieren und damit Unternehmen zu erpressen. Seitdem rücken Aktualisierungen der Software aus dem Hause stärker in den Fokus. Zuletzt gab es etwa Mitte Januar Aktualisierungen für Moveit Transfer. Aber auch die weiteren Softwarelösungen von Progress stehen im Rampenlicht: In WS_FTP etwa versuchten bösartige Akteure, Ransomware durch Schwachstellen einzuschleusen.
(dmk)
