Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Progress Software opublikował poprawki bezpieczeństwa dla kilku istotnych podatności wpływających na produkty MOVEit WAF oraz LoadMaster. Luki dotyczą przede wszystkim niewłaściwej sanitacji danych wejściowych w interfejsach API i komponentach administracyjnych, co w określonych scenariuszach może prowadzić do zdalnego wykonywania poleceń systemowych, wykonania kodu oraz obejścia mechanizmów detekcji w warstwie WAF.
Problem jest szczególnie istotny, ponieważ dotyczy rozwiązań znajdujących się na styku ruchu sieciowego i aplikacyjnego. W praktyce oznacza to, że skuteczne wykorzystanie podatności może mieć wpływ nie tylko na pojedyncze urządzenie, ale również na bezpieczeństwo całego środowiska przedsiębiorstwa.
W skrócie
Producent usunął pięć zgłoszonych problemów bezpieczeństwa oznaczonych jako CVE-2026-3517, CVE-2026-3518, CVE-2026-3519, CVE-2026-4048 oraz CVE-2026-21876. Część z nich umożliwia uwierzytelnionym administratorom z odpowiednimi uprawnieniami doprowadzenie do command injection lub wykonania kodu na urządzeniu.
- CVE-2026-3517 i CVE-2026-3519 dotyczą niewłaściwej sanitacji danych wejściowych w poleceniach administracyjnych.
- CVE-2026-3518 wiąże się z możliwością wstrzyknięcia poleceń przez funkcję killsession.
- CVE-2026-4048 dotyczy mechanizmu przesyłania niestandardowych reguł WAF i może prowadzić do wykonania kodu.
- CVE-2026-21876 pozwala ominąć politykę filtrowania WAF dla odpowiednio przygotowanych żądań multipart HTTP.
Progress poinformował, że nie odnotował doniesień o aktywnym wykorzystaniu tych luk, jednak zalecił natychmiastowe wdrożenie aktualizacji.
Kontekst / historia
Informacja o poprawkach pojawiła się 21 kwietnia 2026 roku i wpisuje się w rosnące znaczenie ochrony urządzeń brzegowych, kontrolerów ADC oraz zapór aplikacyjnych. Tego typu systemy są szczególnie atrakcyjne dla atakujących, ponieważ pośredniczą w ruchu pomiędzy użytkownikami a krytycznymi usługami biznesowymi.
W ostatnich latach infrastruktura bezpieczeństwa i dostępu aplikacyjnego stała się jednym z głównych celów kampanii ofensywnych. Nawet jeśli dana podatność wymaga wcześniejszego uwierzytelnienia, nie obniża to znacząco ryzyka operacyjnego, ponieważ interfejsy zarządzania bywają dostępne z rozległych sieci wewnętrznych, a konta administracyjne są często wykorzystywane przez wiele zespołów operacyjnych.
Analiza techniczna
Najpoważniejsze błędy obejmują produkty LoadMaster, ECS Connection Manager, Connection Manager for ObjectScale oraz MOVEit WAF w ramach linii Progress ADC. Podatności CVE-2026-3517 i CVE-2026-3519 wynikają z nieprawidłowej sanitacji danych wejściowych w poleceniach addcountry i aclcontrol. Użytkownik z uprawnieniami administracyjnymi typu „Geo Administration” lub „VS Administration” może dostarczyć spreparowane dane prowadzące do wykonania dowolnych komend systemowych.
Podobny mechanizm dotyczy CVE-2026-3518, powiązanej z poleceniem killsession. W tym przypadku warunkiem wykorzystania jest posiadanie szerszych uprawnień oznaczonych jako „All”. Błąd opiera się na przekazaniu niewłaściwie oczyszczonych danych do operacji systemowej, co tworzy warunki do command injection.
CVE-2026-4048 dotyczy interfejsu użytkownika w produktach ADC i występuje podczas przesyłania niestandardowego pliku reguł WAF. Z powodu nieprawidłowej walidacji i sanitacji danych możliwe jest wstrzyknięcie kodu wykonywanego następnie w kontekście systemowym urządzenia. To scenariusz szczególnie groźny, ponieważ wykorzystuje standardową funkcję administracyjną związaną z zarządzaniem regułami ochronnymi.
Osobną klasę ryzyka reprezentuje CVE-2026-21876. Nie jest to klasyczne zdalne wykonanie kodu, lecz błąd logiczny w polityce filtrowania firewall/WAF dla niestandardowych zestawów znaków w nagłówkach multipart HTTP. Wadliwa logika sprawia, że walidacja zestawu znaków stosowana jest tylko do ostatniego nagłówka content-type w żądaniu multipart, mimo że aplikacja analizuje wszystkie nagłówki. W efekcie możliwe staje się przygotowanie żądania z zakodowanym złośliwym ładunkiem, który ominie detekcję WAF.
Poprawki zostały udostępnione dla wersji MOVEit WAF 7.2.63.0, LoadMaster GA 7.2.63.1, LoadMaster LTSF 7.2.54.17, ECS Connection Manager 7.2.63.1 oraz Connection Manager for ObjectScale 7.2.63.1.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem udanego ataku jest możliwość wykonania dowolnych poleceń na urządzeniu pełniącym rolę elementu infrastruktury brzegowej lub pośredniczącego w ruchu aplikacyjnym. W praktyce może to prowadzić do pełnej kompromitacji appliance’a oraz rozszerzenia kontroli nad środowiskiem.
- przejęcie kontroli nad urządzeniem,
- modyfikacja konfiguracji bezpieczeństwa,
- wyłączenie lub osłabienie reguł filtrowania,
- przechwytywanie lub manipulacja ruchem,
- przygotowanie przyczółka do dalszego ruchu lateralnego.
W przypadku CVE-2026-21876 ryzyko polega głównie na osłabieniu skuteczności warstwy ochronnej. Jeśli atakujący potrafi ominąć inspekcję WAF, może dostarczyć złośliwy payload do chronionej aplikacji webowej i połączyć ten etap z kolejnymi podatnościami występującymi już za urządzeniem bezpieczeństwa. Tego rodzaju luka może więc stanowić ważny element większego łańcucha ataku.
Dodatkowym czynnikiem podnoszącym wagę problemu jest to, że produkty ADC i WAF zwykle obsługują krytyczne aplikacje biznesowe. Ich kompromitacja może bezpośrednio wpłynąć na dostępność usług, poufność danych oraz integralność ruchu sieciowego i aplikacyjnego.
Rekomendacje
Organizacje korzystające z MOVEit WAF, LoadMaster oraz powiązanych komponentów powinny w pierwszej kolejności zidentyfikować wszystkie podatne instancje i zweryfikować ich wersje. Następnie należy pilnie wdrożyć poprawki producenta do wskazanych wersji lub nowszych.
Równolegle warto zastosować dodatkowe środki ograniczające ryzyko:
- ograniczyć dostęp do interfejsów administracyjnych wyłącznie do zaufanych sieci zarządzających,
- przeprowadzić przegląd kont posiadających uprawnienia „Geo Administration”, „VS Administration” oraz „All”,
- wymusić silne uwierzytelnianie administracyjne, najlepiej z użyciem MFA,
- przeanalizować logi administracyjne i systemowe pod kątem nietypowych wywołań poleceń, zmian reguł WAF oraz anomalii w żądaniach multipart,
- zweryfikować integralność niestandardowych plików reguł WAF i historię ich przesyłania,
- monitorować procesy uruchamiane na appliance’ach oraz nietypowe połączenia wychodzące.
W środowiskach o podwyższonych wymaganiach bezpieczeństwa warto także tymczasowo ograniczyć możliwość przesyłania niestandardowych reguł oraz przeprowadzić przegląd segmentacji sieciowej wokół urządzeń ADC i WAF. Po aktualizacji należy potwierdzić skuteczność remediacji poprzez testy walidacyjne oraz kontrolę wersji oprogramowania na wszystkich instancjach.
Podsumowanie
Najnowszy pakiet poprawek Progress eliminuje kilka istotnych podatności w MOVEit WAF i LoadMaster, obejmujących command injection, wykonanie kodu oraz obejście mechanizmów detekcji WAF. Choć producent nie raportuje obecnie oznak aktywnej eksploatacji, charakter błędów i rola tych systemów w architekturze przedsiębiorstw sprawiają, że poziom ryzyka należy ocenić jako wysoki.
Dla zespołów bezpieczeństwa priorytetem powinno być szybkie wdrożenie aktualizacji, przegląd uprawnień administracyjnych oraz wzmocnienie monitoringu urządzeń znajdujących się na styku infrastruktury sieciowej i aplikacyjnej.
Źródła
- SecurityWeek – Progress Patches Multiple Vulnerabilities in MOVEit WAF, LoadMaster — https://www.securityweek.com/progress-patches-multiple-vulnerabilities-in-moveit-waf-loadmaster/
- Progress Community – LoadMaster Security Vulnerabilities: CVE-2026-3517 / CVE-2026-3518 / CVE-2026-3519 / CVE-2026-4048 / CVE-2026-21876 — https://community.progress.com/s/article/LoadMaster-Security-Vulnerabilites-CVE-2026-3517-CVE-2026-3518-CVE-2026-3519-CVE-2026-4048-CVE-2026-21876
- Canadian Centre for Cyber Security – Progress security advisory (AV26-371) — https://www.cyber.gc.ca/en/alerts-advisories/progress-security-advisory-av26-371
- Tenable – CVE-2026-3518 — https://www.tenable.com/cve/CVE-2026-3518