Esplorazione della gravità della vulnerabilità CVE-2024-2389 in Progress Flowmon e delle conseguenze (e soluzioni) per l'azienda
: INFORMAZIONI UFFICIALI SULLA PATCH CVE-2024-2389 :
Una significativa vulnerabilità della sicurezza (CVE-2024-2389) è emersa in Progress Flowmon, uno strumento apprezzato per le sue robuste funzionalità di monitoraggio delle prestazioni, diagnostica e rilevamento e risposta della rete. Utilizzata da oltre 1.500 aziende globali, tra cui nomi di alto profilo come SEGA, KIA, TDK, Volkswagen, Orange e Tietoevry, per citarne solo alcune, questa vulnerabilità ha implicazioni di vasta portata.
Decompressione della vulnerabilità CVE-2024-2389
Recentemente, i ricercatori di Laboratori di sicurezza di Rhino scoperto un difetto critico in Progresso Flowmontracciato come CVE-2024-2389, a cui è stato assegnato un punteggio di gravità pari a ten/10. Questa falla rappresenta un rischio significativo in quanto consente agli aggressori di ottenere un accesso remoto non autenticato all'interfaccia net di Flowmon attraverso una richiesta API appositamente predisposta, consentendo loro di eseguire comandi di sistema arbitrari.
Guasto tecnico dell'attacco
La vulnerabilità colpisce specificamente le versioni del prodotto v12.x e v11.x. Il nocciolo dell'exploit consiste nella manipolazione del “pluginPath” o dei “parametri del file” all'interno delle richieste API del sistema. Sfruttando la sintassi di sostituzione dei comandi, come $(…), gli aggressori possono iniettare comandi dannosi. Sebbene il comando venga eseguito senza fornire visibilità dell'output all'aggressore, consente la scrittura di una webshell nella listing /var/www/shtml/, facilitando ulteriori attività dannose come l'escalation dei privilegi all'accesso root.
Dimostrazione dell'exploit
Rhino Safety Labs ha chiarito ulteriormente la vulnerabilità rilasciando una dimostrazione che mostra come un utente malintenzionato potrebbe sfruttare questa falla per installare una webshell nel sistema e aumentare i privilegi. Ciò dimostra la natura immediata e pericolosa della vulnerabilità e mostra il potenziale di una significativa compromissione del sistema.
Mitigazione e risposta
Dopo la scoperta, Progress Software program ha prontamente emesso un avviso il 4 aprile, avvisando i clienti della vulnerabilità e dei suoi potenziali impatti. L'azienda ha rilasciato aggiornamenti:v12.3.4 E v11.1.14—per porre rimedio ai problemi individuati. Per i clienti, l'aggiornamento dei propri sistemi tramite la funzione “Obtain automatico dei pacchetti” o manualmente dal centro obtain del fornitore è fondamentale. Progress Software program consiglia di aggiornare ulteriormente tutti i moduli Flowmon per garantire una protezione completa.
Il panorama attuale
Nonostante la disponibilità delle patch, il panorama dei rischi rimane preoccupante. Due settimane dopo l'allerta iniziale, il CSIRT italiano ha notato che gli exploit erano già emersi, con pratici codici di exploit (PoC) condivisi pubblicamente su piattaforme come X entro il 10 aprile. Un sondaggio sulle risorse di rete utilizzando il motore di ricerca Fofa rivela che circa 500 server Flowmon sono attualmente esposto on-line, mentre altri motori di ricerca come Shodan e Hunter mostrano meno casi.
Quest’anno il nostro settore ha assistito a uno straordinario aumento delle vulnerabilità della sicurezza informatica minacce zero-day ed eventi come il recente 'madre di tutte le violazioni' sono state notizie in prima pagina e sulle labbra dei vertici. Queste nuove scoperte evidenziano ulteriormente l’urgente necessità di proteggere i sistemi interessati da potenziali exploit.
Le migliori pratiche per il futuro
Per le organizzazioni che utilizzano Flowmon, la risposta non dovrebbe essere solo reattiva ma anche proattiva. Oltre agli aggiornamenti immediati, l’istituzione di rigorosi protocolli di sicurezza e controlli regolari degli strumenti di rete possono aiutare a mitigare tali vulnerabilità. L’impiego di misure avanzate di sicurezza della rete, la formazione del personale sulle potenziali minacce e il mantenimento di un sistema aggiornato sono passaggi essenziali per la protezione da future violazioni della sicurezza.
Messa a riposo di CVE-2024-2389
La scoperta di CVE-2024-2389 in Progress Flowmon è un ulteriore promemoria delle minacce sempre presenti alla sicurezza della rete e della continua necessità di vigilanza e azione tempestiva nella gestione della sicurezza informatica. 2024 tecniche di hacking stanno diventando sempre più sofisticati, e Statistiche sulla sicurezza informatica 2024 fanno già notizia quotidiana in prima pagina. La sofisticazione delle potenziali minacce continua a crescere, così come l’aumento vulnerabilità della sicurezza informatica E attacchi zero-dayrendendo fondamentale per le organizzazioni rimanere all'avanguardia nelle pratiche di sicurezza per proteggere le proprie infrastrutture di rete critiche.
: INFORMAZIONI UFFICIALI SULLA PATCH CVE-2024-2389 :
