Критическая уязвимость в Progress Kemp LoadMaster ставит корпоративные сети под серьезную угрозу!

В сфере кибербезопасности обнаружена очередная чрезвычайно опасная уязвимость, которая оставила под серьезной угрозой организации по всему миру, использующие устройства Progress Kemp LoadMaster. Данная уязвимость, зарегистрированная под идентификатором CVE-2026-8037, позволяет злоумышленникам удаленно выполнять произвольные системные команды на устройстве без какой-либо аутентификации. Уровень опасности этой уязвимости по шкале CVSS оценивается в 9.8 балла, что относит ее к высшей категории — Critical (критическая).

Что такое LoadMaster и почему она важна?

Progress Kemp LoadMaster — это широко используемое в корпоративных инфраструктурах решение Application Delivery Controller (ADC) и балансировщик нагрузки (Load Balancer). Оно выполняет функции балансировки нагрузки на серверы, обработки SSL/TLS-трафика, оптимизации производительности приложений, маршрутизации контента, а также защиты веб-приложений от различных кибератак с помощью встроенного межсетевого экрана для веб-приложений (Web Application Firewall – WAF).

Данные устройства обычно размещаются на внешнем периметре сети организации — в точке, непосредственно подключенной к Интернету. Поэтому любая критическая уязвимость, обнаруженная в таких устройствах, создает опасную возможность для злоумышленников проникнуть во внутреннюю сеть.

Как работает уязвимость?

По данным экспертов, проблема связана с ошибкой программирования в функции escape_quotes(), входящей в состав модуля выполнения доступа (access execution module) устройства.

Эта функция предназначена для экранирования специальных символов в данных, отправляемых пользователем, перед их передачей в системные команды. Однако в старых версиях программного обеспечения в конец создаваемого буфера не добавлялся нулевой терминатор (\0).

В результате система через функцию sprintf() начинает считывать данные за пределами выделенной области памяти. Злоумышленник, отправляя специально сформированные JSON-запросы, может разместить вредоносные команды в соседней области памяти и добиться их выполнения через системную оболочку (shell).

Наиболее опасным аспектом является то, что для осуществления этой атаки не требуются имя пользователя, пароль или другие аутентификационные данные. Если интерфейс API включен и существует возможность сетевого доступа к устройству, возникает вероятность использования уязвимости.

Как исследователи обнаружили уязвимость?

Уязвимость была первоначально обнаружена исследователем Syed Ibrahim Ahmed из TrendAI Research и сообщена компании Progress в соответствии с принципом ответственного раскрытия информации.

Впоследствии эксперты WatchTowr Labs провели глубокий технический анализ механизма работы уязвимости и опубликовали подробный отчет о процессе эксплуатации. Согласно их анализу, проблема возникла из-за некорректного управления памятью, что позволяет злоумышленникам выполнять код с правами root (администратора).

Какие версии находятся под угрозой?

Следующие версии считаются уязвимыми:

  • Kemp LoadMaster GA 7.2.63.1 и более ранние версии;
  • Kemp LoadMaster LTSF 7.2.54.17 и более ранние версии.

Уязвимость может быть использована в первую очередь на устройствах с включенной функцией API.

Кроме того, данная проблема затрагивает следующие продукты:

  • Progress ECS Connection Manager;
  • Progress Connection Manager for ObjectScale.

Как была устранена проблема?

Компания Progress внесла ряд важных изменений в программное обеспечение для устранения уязвимости. В частности:

  • вместо malloc() для выделения памяти используется calloc(), которая автоматически заполняет выделенную область нулевыми значениями;
  • добавлен отсутствующий нулевой терминатор в выходной буфер;
  • полностью устранена возможность чтения данных за пределами выделенной области памяти.

В результате путь к эксплуатации, ведущей к удаленному выполнению кода, был закрыт.

Рекомендации для организаций

Эксперты рекомендуют всем организациям, использующим устройства LoadMaster, как можно скорее предпринять следующие меры:

  • немедленно обновить устройства до версий GA 7.2.63.2 или LTSF 7.2.54.18;
  • при отсутствии необходимости временно отключить API-сервис;
  • ограничить прямой доступ к API-интерфейсу через Интернет;
  • разрешить доступ к управляющим интерфейсам только с доверенных IP-адресов;
  • регулярно анализировать логи устройств и отслеживать подозрительные API-запросы;
  • внедрить дополнительные средства контроля безопасности на сетевом периметре и усилить мониторинг признаков эксплуатации.

Если у организации отсутствует контракт на техническую поддержку, рекомендуется обратиться к партнерам производителя для получения обновленного программного обеспечения.

Уязвимость CVE-2026-8037 является одной из самых опасных ошибок, обнаруженных в последнее время в инфраструктурных устройствах, размещенных на сетевом периметре. Ее эксплуатация без аутентификации, возможность удаленного выполнения кода с правами root и прямая угроза устройствам LoadMaster, доступным через Интернет, делают ее особенно опасной.

Организациям не следует оставлять эту уязвимость без внимания — необходимо немедленно обновить устройства и регулярно проводить аудит и мониторинг всех критических систем, расположенных на сетевом периметре. Поскольку успешная атака через такие устройства может привести к компрометации всей корпоративной инфраструктуры, утечке конфиденциальных данных и нарушению бизнес-процессов.