
Критическая уязвимость в Progress Kemp LoadMaster ставит корпоративные сети под серьезную угрозу!
В сфере кибербезопасности обнаружена очередная чрезвычайно опасная уязвимость, которая оставила под серьезной угрозой организации по всему миру, использующие устройства Progress Kemp LoadMaster. Данная уязвимость, зарегистрированная под идентификатором CVE-2026-8037, позволяет злоумышленникам удаленно выполнять произвольные системные команды на устройстве без какой-либо аутентификации. Уровень опасности этой уязвимости по шкале CVSS оценивается в 9.8 балла, что относит ее к высшей категории — Critical (критическая).
Что такое LoadMaster и почему она важна?
Progress Kemp LoadMaster — это широко используемое в корпоративных инфраструктурах решение Application Delivery Controller (ADC) и балансировщик нагрузки (Load Balancer). Оно выполняет функции балансировки нагрузки на серверы, обработки SSL/TLS-трафика, оптимизации производительности приложений, маршрутизации контента, а также защиты веб-приложений от различных кибератак с помощью встроенного межсетевого экрана для веб-приложений (Web Application Firewall – WAF).
Данные устройства обычно размещаются на внешнем периметре сети организации — в точке, непосредственно подключенной к Интернету. Поэтому любая критическая уязвимость, обнаруженная в таких устройствах, создает опасную возможность для злоумышленников проникнуть во внутреннюю сеть.
Как работает уязвимость?
По данным экспертов, проблема связана с ошибкой программирования в функции escape_quotes(), входящей в состав модуля выполнения доступа (access execution module) устройства.
Эта функция предназначена для экранирования специальных символов в данных, отправляемых пользователем, перед их передачей в системные команды. Однако в старых версиях программного обеспечения в конец создаваемого буфера не добавлялся нулевой терминатор (\0).
В результате система через функцию sprintf() начинает считывать данные за пределами выделенной области памяти. Злоумышленник, отправляя специально сформированные JSON-запросы, может разместить вредоносные команды в соседней области памяти и добиться их выполнения через системную оболочку (shell).
Наиболее опасным аспектом является то, что для осуществления этой атаки не требуются имя пользователя, пароль или другие аутентификационные данные. Если интерфейс API включен и существует возможность сетевого доступа к устройству, возникает вероятность использования уязвимости.
Как исследователи обнаружили уязвимость?
Уязвимость была первоначально обнаружена исследователем Syed Ibrahim Ahmed из TrendAI Research и сообщена компании Progress в соответствии с принципом ответственного раскрытия информации.
Впоследствии эксперты WatchTowr Labs провели глубокий технический анализ механизма работы уязвимости и опубликовали подробный отчет о процессе эксплуатации. Согласно их анализу, проблема возникла из-за некорректного управления памятью, что позволяет злоумышленникам выполнять код с правами root (администратора).
Какие версии находятся под угрозой?
Следующие версии считаются уязвимыми:
- Kemp LoadMaster GA 7.2.63.1 и более ранние версии;
- Kemp LoadMaster LTSF 7.2.54.17 и более ранние версии.
Уязвимость может быть использована в первую очередь на устройствах с включенной функцией API.
Кроме того, данная проблема затрагивает следующие продукты:
- Progress ECS Connection Manager;
- Progress Connection Manager for ObjectScale.
Как была устранена проблема?
Компания Progress внесла ряд важных изменений в программное обеспечение для устранения уязвимости. В частности:
- вместо malloc() для выделения памяти используется calloc(), которая автоматически заполняет выделенную область нулевыми значениями;
- добавлен отсутствующий нулевой терминатор в выходной буфер;
- полностью устранена возможность чтения данных за пределами выделенной области памяти.
В результате путь к эксплуатации, ведущей к удаленному выполнению кода, был закрыт.
Рекомендации для организаций
Эксперты рекомендуют всем организациям, использующим устройства LoadMaster, как можно скорее предпринять следующие меры:
- немедленно обновить устройства до версий GA 7.2.63.2 или LTSF 7.2.54.18;
- при отсутствии необходимости временно отключить API-сервис;
- ограничить прямой доступ к API-интерфейсу через Интернет;
- разрешить доступ к управляющим интерфейсам только с доверенных IP-адресов;
- регулярно анализировать логи устройств и отслеживать подозрительные API-запросы;
- внедрить дополнительные средства контроля безопасности на сетевом периметре и усилить мониторинг признаков эксплуатации.
Если у организации отсутствует контракт на техническую поддержку, рекомендуется обратиться к партнерам производителя для получения обновленного программного обеспечения.
Уязвимость CVE-2026-8037 является одной из самых опасных ошибок, обнаруженных в последнее время в инфраструктурных устройствах, размещенных на сетевом периметре. Ее эксплуатация без аутентификации, возможность удаленного выполнения кода с правами root и прямая угроза устройствам LoadMaster, доступным через Интернет, делают ее особенно опасной.
Организациям не следует оставлять эту уязвимость без внимания — необходимо немедленно обновить устройства и регулярно проводить аудит и мониторинг всех критических систем, расположенных на сетевом периметре. Поскольку успешная атака через такие устройства может привести к компрометации всей корпоративной инфраструктуры, утечке конфиденциальных данных и нарушению бизнес-процессов.



