Krytyczna luka w Progress Kemp LoadMaster pozwala na zdalne wykonanie poleceń jako root bez uwierzytelnienia - Security Bez Tabu

Krytyczna luka w Progress Kemp LoadMaster pozwala na zdalne wykonanie poleceń jako root bez uwierzytelnienia

Cybersecurity news

Wprowadzenie do problemu / definicja

W urządzeniach Progress Kemp LoadMaster ujawniono krytyczną podatność oznaczoną jako CVE-2026-8037. Luka umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych z uprawnieniami root, jeśli podatny interfejs API jest dostępny z sieci. To szczególnie groźny scenariusz, ponieważ LoadMaster jest często wykorzystywany jako load balancer i kontroler dostarczania aplikacji na styku sieci.

Problem dotyczy błędu typu OS command injection i otrzymał wysoką ocenę CVSS 9.8. W praktyce oznacza to, że pojedyncza podatność może prowadzić do pełnego przejęcia urządzenia odpowiedzialnego za obsługę ruchu do kluczowych usług biznesowych.

W skrócie

  • CVE-2026-8037 umożliwia zdalne wykonanie poleceń jako root bez uwierzytelnienia.
  • Podatne są wersje GA 7.2.63.1 i starsze oraz LTSF 7.2.54.17 i starsze.
  • Poprawki udostępniono w wersjach GA 7.2.63.2 oraz LTSF 7.2.54.18.
  • Luka dotyczy interfejsu API i może zostać wykorzystana przed logowaniem.
  • Nie potwierdzono jeszcze aktywnego wykorzystania, ale publicznie opisano pełny łańcuch eksploatacji.

Kontekst / historia

Progress Kemp LoadMaster to rozwiązanie szeroko stosowane do równoważenia obciążenia, publikacji usług oraz realizacji funkcji ADC w środowiskach firmowych. Z perspektywy bezpieczeństwa oznacza to, że każda luka dostępna przed uwierzytelnieniem może mieć wpływ nie tylko na samo urządzenie, ale również na cały przepływ ruchu aplikacyjnego w organizacji.

CVE-2026-8037 została ujawniona w czerwcu 2026 roku. Producent opublikował poprawki i biuletyn bezpieczeństwa, a następnie pojawiły się niezależne analizy techniczne wyjaśniające mechanizm błędu. W tym samym cyklu aktualizacji załatano również CVE-2026-33691, związaną z obejściem mechanizmów WAF przez manipulację spacjami w nazwach plików podczas kontroli rozszerzeń.

To kolejny incydent pokazujący, że urządzenia brzegowe i komponenty zarządzające ruchem pozostają atrakcyjnym celem dla napastników. Ze względu na ich uprzywilejowaną rolę w infrastrukturze nawet pojedyncza podatność może otworzyć drogę do dalszej kompromitacji środowiska.

Analiza techniczna

Źródłem problemu jest mechanizm sanitizacji danych wejściowych przekazywanych dalej do poleceń powłoki. Z założenia funkcja miała odpowiednio przetwarzać znaki specjalne, aby uniemożliwić wyrwanie się z kontekstu ciągu znaków i wstrzyknięcie poleceń systemowych.

W praktyce zabezpieczenie zawiodło z powodu błędnego zarządzania pamięcią. Bufor używany do przechowywania przetworzonego wejścia nie był właściwie zerowany, a dodatkowo zabrakło poprawnego zakończenia łańcucha znakiem null. Taki stan mógł prowadzić do odczytu danych spoza właściwego końca bufora.

Eksploatacja polegała na przygotowaniu odpowiednio spreparowanego żądania JSON kierowanego do endpointu API odpowiadającego za walidację poświadczeń, wskazywanego jako /accessv2. Atakujący mógł umieścić kontrolowane dane nie tylko w polu użytkownika API, ale również w dodatkowych kluczach JSON. W rezultacie mechanizm przetwarzania wychodził poza granice bufora i sięgał do danych kontrolowanych przez napastnika, co finalnie umożliwiało wykonanie poleceń systemowych jako root.

Ten scenariusz jest wyjątkowo niebezpieczny z kilku powodów:

  • atak odbywa się przed uwierzytelnieniem,
  • nie wymaga ważnych poświadczeń,
  • dotyczy urządzenia o wysokich uprawnieniach w infrastrukturze,
  • może prowadzić do pełnego wykonania dowolnego kodu lub poleceń systemowych.

Producent ograniczył problem przez zmianę sposobu alokacji pamięci na wariant zerujący bufor oraz dodanie jawnego terminatora końca łańcucha. Choć modyfikacja wydaje się niewielka, ma kluczowe znaczenie dla wyeliminowania warunków umożliwiających exploitację.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem podatności jest możliwość całkowitego przejęcia urządzenia LoadMaster bez logowania. Uzyskanie wykonania poleceń z uprawnieniami root daje napastnikowi pełną kontrolę nad systemem i jego funkcjami sieciowymi.

W praktyce może to oznaczać:

  • instalację backdoora i utrzymanie trwałego dostępu,
  • modyfikację konfiguracji load balancera i reguł ruchu,
  • przechwytywanie, przekierowywanie lub zakłócanie ruchu aplikacyjnego,
  • wykorzystanie urządzenia jako punktu wyjścia do ruchu bocznego,
  • sabotaż dostępności usług i systemów biznesowych.

Ryzyko rośnie szczególnie wtedy, gdy interfejs API jest wystawiony do Internetu lub szeroko dostępny wewnątrz sieci bez odpowiedniej segmentacji. Publiczny opis techniczny pełnego łańcucha ataku zwiększa prawdopodobieństwo szybkiego powstania gotowych exploitów i zautomatyzowanych kampanii skanujących.

Nawet przy braku potwierdzonych przypadków wykorzystania luka powinna być traktowana priorytetowo. W przypadku urządzeń brzegowych czas między publikacją szczegółów a pierwszymi próbami ataków bywa bardzo krótki.

Rekomendacje

Organizacje korzystające z Progress Kemp LoadMaster powinny jak najszybciej zaktualizować system do wersji GA 7.2.63.2 albo LTSF 7.2.54.18, zależnie od używanej gałęzi produktu. Jeśli interfejs API pozostaje aktywny i dostępny z sieci, odkładanie aktualizacji istotnie zwiększa ryzyko kompromitacji.

Dodatkowo warto wdrożyć następujące działania ochronne:

  • ograniczyć dostęp do API wyłącznie do zaufanych adresów administracyjnych,
  • zweryfikować, czy API musi być aktywne w środowisku produkcyjnym,
  • wprowadzić segmentację i listy ACL dla interfejsów zarządzających,
  • przeanalizować logi HTTP oraz logi urządzenia pod kątem żądań do /accessv2,
  • szukać anomalii w żądaniach JSON, w tym nadmiarowych pól i nietypowych parametrów,
  • monitorować zmiany konfiguracji, nowe zadania systemowe i podejrzane procesy,
  • w razie podejrzenia naruszenia przeprowadzić analizę forensic oraz rotację poświadczeń administracyjnych.

Dobrą praktyką jest także przegląd wszystkich urządzeń brzegowych pod kątem ekspozycji paneli i interfejsów administracyjnych. Tego typu podatności pokazują, jak łatwo pojedynczy komponent infrastrukturalny może stać się punktem wejścia do krytycznych zasobów.

Podsumowanie

CVE-2026-8037 to krytyczna podatność w Progress Kemp LoadMaster, która umożliwia zdalne wykonanie poleceń jako root bez uwierzytelnienia przez podatne API. Luka wynika z błędnej obsługi bufora i niepoprawnego zakończenia łańcucha po sanitizacji danych wejściowych.

Ze względu na rolę LoadMastera na brzegu sieci wpływ tej podatności może być znacznie większy niż w przypadku typowej luki aplikacyjnej. Kluczowe działania obronne to szybkie wdrożenie poprawek, ograniczenie ekspozycji interfejsu API oraz aktywne monitorowanie oznak prób eksploatacji.

Źródła

  1. Progress Kemp LoadMaster Flaw Could Let Attackers Run Root Commands Pre-Auth — https://thehackernews.com/2026/06/progress-kemp-loadmaster-flaw-could-let.html
  2. ZDI-26-340 – TrendAI Zero Day Initiative — https://www.zerodayinitiative.com/advisories/ZDI-26-340/
  3. Vulnerabilities — Progress Documentation — https://docs.progress.com/bundle/loadmaster-vulnerabilities-ga/page/Vulnerabilities.html
  4. Progress security advisory (AV24-504) – Canadian Centre for Cyber Security — https://www.cyber.gc.ca/en/alerts-advisories/progress-security-advisory-av24-504