[English]Kurzer Hinweis für Administratoren, die den Load-Balancer LoadMaster von Progress Kemp verwenden. Der Anbieter hat im August 2024 eine Warnung vor einer Schwachstelle CVE-2024-7591 herausgegeben. Details will Kemp später veröffentlichen. Administratoren, die das Produkt verwenden, sollten unverzüglich aktualisieren.
Was ist Progress Kemp?
Von Progress Kemp gibt es den Load-Balancer LoadMaster, der einen Lastenausgleich in Netzwerken bereitstellen soll. In seiner einfachsten Form bietet ein Load Balancer die Möglichkeit, Anwendungsbenutzer an den leistungsstärksten und zugänglichsten Server weiterzuleiten.
Es gibt wohl eine Schwachstelle CVE-2024-7591
Ein Leser hat mich darüber informiert, dass es beim LoadMaster wohl ein Sicherheitsproblem gebe. Das Progress Kemp LoadMaster Team hat aber nach eigenen Angaben „kürzlich“ eine Schwachstelle (CVE-2024-7591) in LoadMaster identifiziert. Betroffen sind folgende Produktversionen:
- LoadMaster 7.2.60.0 und vorherige Versionen
- ECS Connection Manager 7.2.60.0 und vorherige Versionen
- Multi-Tenant Hypervisor 7.1.35.11 und vorherige Versionen
Die Schwachstelle ermöglicht nicht authentifizierten Remote-Angreifern den Zugriff auf die Verwaltungsschnittstelle von LoadMaster. Dazu muss lediglich eine entsprechend gestaltete HTTP-Anfrage geschickt werden, um die Ausführung beliebiger Systembefehle zu ermöglichen.
Diese Schwachstelle wurde geschlossen, indem die Benutzereingabe von entsprechenden Anfragen bereinigt wurde, um die Ausführung beliebiger Systembefehle zu vermindern. Das Sicherheitsteam schreibt zwar, dass man keine Berichte erhalten habe, dass diese Schwachstelle ausgenutzt wurde, und man ist sich keiner direkten Auswirkungen auf die Kunden bewusst.
Produkte aktualisieren
Der Anbieter hat zum 19. August 2024 Sicherheitsupdates für die betreffenden Produkte bereitgestellt. Kunden sollten das Zusatzpaket baldmöglich installieren. Das Zusatzpaket kann auf jeder Version von LoadMaster installiert werden, auch wenn der Support für das Gerät abgelaufen ist. Das Produkt Multi-Tenant LoadMaster (LoadMaster MT) ist wie folgt betroffen:
- Die einzelnen instanziierten LoadMaster VNFs sind verwundbar und müssen so schnell wie möglich mit dem Add-on gepatcht werden.
- Es ist zu beachten, dass der MT-Hypervisor oder der Manager-Knoten ebenfalls anfällig ist und so schnell wie möglich mit dem oben genannten Add-on gepatcht werden muss.
Kunden können das Add-on über vom Hersteller in einer Sicherheitsmitteilung enthaltenen Link herunterladen und es gemäß den Anweisungen in diesem Knowledge Base-Artikel installieren.
Der Hersteller hat zwar drei Links angegeben, die aber alle auf die obige URL mit dem Download des Add-on verweisen.
Ich werde die Details hier nachtragen, nachdem der Anbieter die zum 3. September 2024 versprochenen Informationen veröffentlicht hat.
Wenn man schon dabei ist empfiehlt es sich auch das neuste Update zu installieren und nicht nur das Addon.
Die Updates findet man hier:
https://support.kemptechnologies.com/hc/en-us/articles/360051367351-Download-LoadMaster-Firmware
Kemp.. wo habe ich das schonmal gehört?
Ah jetzt fälllt’s mir wieder ein.. bei der CDU und deren owa2010 Webmailer, protected by KEMP mit einer Version aus 2013… im Jahr 2024!
Kurzer Blick auf deren Nextcloud „Running Nextcloud 29.0.2.2“ immerhin nur 2 Minor-Updates (aktuell 29.0.4) hinterher.
Danke – habe den Patch eingespielt.
Gab es eine offizielle Info von Kemp an die Kunden?
Wir sind Kunde und haben keine erhalten.
Ich habe es über Umwege über einen Leser erhalten – der von Kemp per Mail informiert wurde.
Hi
ja, es gab eine offzielle Mail, die kam am 19.08.2024.
Moin,
Kemp ist eigentlich ziemlich offen unterwegs wenn es brennt.
Ist aber eher Profi-Software für grössere Anlagen.
Es gibt eine freie Version aber ohne ein gerütteltes Maß an Fachwissen wird man mit dem Tool nicht glücklich.
Fachinformtiker SI in Ausbildung sollten sich die Lösung aber mal ein einer virtuellen Testumgebung aufbauen.
Gruß
Die Email ging ausschließlich an Kunden mit der Info, dass der CVE noch „Reserved, not yet made public“ ist.
Auch bei mitre.org ist dieser auch nur als reserved gekennzeichnet.
KEMP informiert seine Kunden vor Veröffentlichung des CVE und gibt ihnen Gelegenheit die Patches zeitnah zu installieren, bevor nach Bekanntwerden der Schwachstelle eventuell bald Exploits auftauchen.
Was Sie hier gemacht haben, Herr Born, ist äußert fahrlässig und bedenklich. Sie verbreiten hier vor der öffentlichen Bekanntgabe (selbst bei Kemp findet sich noch keine Hinweise), Informationen über eine Sicherheitslücke.
Vielleicht sollten Sie es vermeiden, wahllos Emails Ihrer Leser hier zu veröffentlichen und dem journalistischen Zweitquellenprinzip folgen, und zunächst recherchieren, was an diesen Informationen dran ist oder ob diese schon veröffentlicht werden kann. Journalistische Sorgfalt muss vor Reichweite kommen.
Ich checke es noch Mal, aber erstens sind keine Details zur Schwachstelle angegeben, und zweitens glaube ich mich zu erinnern, das ich die Informationen von einer Webseite hatte.