Progress Kemp LoadMaster’da aniqlangan kritik zaiflik korporativ tarmoqlarni jiddiy xavf ostida qoldirmoqda!

Kiberxavfsizlik sohasida yana bir o’ta xavfli zaiflik aniqlanib, butun dunyo bo’ylab Progress Kemp LoadMaster qurilmalaridan foydalanayotgan tashkilotlarni jiddiy tahdid ostida qoldirdi. CVE-2026-8037 identifikatori bilan ro’yxatdan o’tkazilgan ushbu zaiflik tajovuzkorlarga hech qanday autentifikatsiyadan o’tmasdan turib masofadan qurilmada ixtiyoriy tizim buyruqlarini bajarish imkonini beradi. Mazkur zaiflikning CVSS xavflilik darajasi 9.8 ball deb baholangan bo’lib, u eng yuqori – Critical (kritik) toifaga kiritilgan.

LoadMaster nima va nima uchun muhim?

Progress Kemp LoadMaster – korporativ infratuzilmalarda keng qo’llaniladigan Application Delivery Controller (ADC) va Load Balancer yechimidir. U serverlarga tushadigan yuklamani muvozanatlashtirish, SSL/TLS trafiklarini qayta ishlash, ilovalar ishlashini optimallashtirish, kontentni yo’naltirish hamda o’rnatilgan Web Application Firewall (WAF) orqali veb-ilovalarni turli kiberhujumlardan himoya qilish vazifalarini bajaradi.

Mazkur qurilmalar odatda tashkilot tarmog’ining tashqi chegarasida – internet bilan bevosita bog’langan nuqtada joylashtiriladi. Shu sababli bunday qurilmalarda aniqlanadigan har qanday kritik zaiflik tajovuzkorlarga ichki tarmoqqa kirish uchun xavfli imkoniyat yaratadi.

Zaiflik qanday ishlaydi?

Mutaxassislarning aniqlashicha, muammo qurilmaning access bajariluvchi moduli tarkibidagi escape_quotes() funksiyasida yuzaga kelgan dasturlash xatosi bilan bog’liq.

Ushbu funksiya foydalanuvchi tomonidan yuborilgan ma’lumotlarni tizim buyruqlariga uzatishdan oldin maxsus belgilarni ekranlash vazifasini bajaradi. Biroq eski dasturiy ta’minot versiyalarida hosil qilingan bufer oxiriga null terminator (\0) qo’shilmagan.

Natijada tizim sprintf() funksiyasi orqali ajratilgan xotira chegarasidan tashqaridagi ma’lumotlarni ham o’qiy boshlaydi. Tajovuzkor esa maxsus tayyorlangan JSON so’rovlarini yuborish orqali qo’shni xotira hududiga zararli buyruqlarni joylashtirishi va ularning tizim qobig’i (shell) orqali bajarilishiga erishishi mumkin.

Eng xavfli jihati shundaki, ushbu hujumni amalga oshirish uchun foydalanuvchi nomi, parol yoki boshqa autentifikatsiya ma’lumotlari talab qilinmaydi. Agar API interfeysi yoqilgan bo’lsa va qurilmaga tarmoq orqali murojaat qilish imkoniyati mavjud bo’lsa, zaiflikdan foydalanish ehtimoli yuzaga keladi.

Tadqiqotchilar zaiflikni qanday aniqlashdi?

Zaiflik dastlab TrendAI Research tadqiqotchisi Syed Ibrahim Ahmed tomonidan aniqlanib, mas’uliyatli oshkor qilish tamoyili asosida Progress kompaniyasiga xabar qilingan.

Keyinchalik WatchTowr Labs mutaxassislari zaiflikning ishlash mexanizmini chuqur texnik tahlil qilib, ekspluatatsiya jarayoni haqida batafsil hisobot e’lon qildilar. Ularning tahliliga ko’ra, muammo noto’g’ri xotira boshqaruvi sabab yuzaga kelgan bo’lib, bu tajovuzkorlarga root (administrator) darajasida kod bajarish imkonini beradi.

Qaysi versiyalar xavf ostida?

Quyidagi versiyalar zaif hisoblanadi:

• Kemp LoadMaster GA 7.2.63.1 va undan oldingi versiyalar;
• Kemp LoadMaster LTSF 7.2.54.17 va undan oldingi versiyalar.

Zaiflik ayniqsa API funksiyasi yoqilgan qurilmalarda ekspluatatsiya qilinishi mumkin.

Shuningdek, ushbu muammo quyidagi mahsulotlarga ham ta’sir ko’rsatadi:

• Progress ECS Connection Manager;
• Progress Connection Manager for ObjectScale.

Muammo qanday bartaraf etildi?

Progress kompaniyasi zaiflikni bartaraf etish maqsadida dasturiy ta’minotda bir nechta muhim o’zgarishlarni amalga oshirdi. Jumladan:

• xotira ajratishda malloc() o’rniga avtomatik ravishda nol qiymatlar bilan to’ldiriladigan calloc() funksiyasidan foydalanildi;
• chiqish buferiga yetishmayotgan null terminator qo’shildi;
• xotira chegarasidan tashqaridagi ma’lumotlarni o’qish imkoniyati to’liq bartaraf etildi.

Natijada masofadan kod bajarishga olib keluvchi ekspluatatsiya yo’li yopildi.

Tashkilotlarga tavsiyalar

Mutaxassislar LoadMaster qurilmalaridan foydalanayotgan barcha tashkilotlarga imkon qadar tezroq quyidagi choralarni ko’rishni tavsiya etmoqda:

• qurilmalarni GA 7.2.63.2 yoki LTSF 7.2.54.18 versiyalariga zudlik bilan yangilash;
• zarurat bo’lmasa API xizmatini vaqtincha o’chirib qo’yish;
• internet orqali API interfeysiga to’g’ridan-to’g’ri kirishni cheklash;
• boshqaruv interfeyslarini faqat ishonchli IP manzillar orqali foydalanishga ruxsat berish;
• qurilmalar loglarini muntazam tahlil qilib, shubhali API so’rovlarini kuzatish;
• tarmoq chegarasida qo’shimcha xavfsizlik nazoratlarini joriy etish hamda ekspluatatsiya alomatlari bo’yicha monitoringni kuchaytirish.

Agar tashkilotda texnik xizmat ko’rsatish shartnomasi mavjud bo’lmasa, ishlab chiqaruvchi hamkorlari bilan bog’lanib, yangilangan dasturiy ta’minotni olish tavsiya etiladi.

CVE-2026-8037 zaifligi so’nggi paytlarda tarmoq chegarasida joylashgan infratuzilma qurilmalarida aniqlangan eng xavfli kamchiliklardan biri hisoblanadi. Uning autentifikatsiyasiz ekspluatatsiya qilinishi, masofadan turib root darajasida kod bajarish imkoniyatini berishi hamda internetga ochiq LoadMaster qurilmalariga bevosita tahdid solishi uni alohida xavfli zaifliklar qatoriga kiritadi.

Tashkilotlar ushbu zaiflikni e’tiborsiz qoldirmasliklari, qurilmalarni zudlik bilan yangilashlari va tarmoq chegarasida joylashgan barcha muhim tizimlarni muntazam ravishda audit hamda monitoringdan o’tkazishlari zarur. Chunki bunday qurilmalar orqali amalga oshirilgan muvaffaqiyatli hujum butun korporativ infratuzilmaning komprometatsiya qilinishiga, maxfiy ma’lumotlarning sizib chiqishiga va biznes jarayonlarining izdan chiqishiga sabab bo’lishi mumkin.