На устройства Progress Kemp LoadMaster снова обратили внимание атакующие. Канадская eSentire сообщила о попытках эксплуатации критической уязвимости CVE-2026-8037, которую производитель оценил в 9,6 балла по CVSS.
Сценарий неприятный: атакующему не нужны логин и пароль. Если сработает цепочка эксплойта, он может заставить устройство выполнять произвольные команды от имени системы.
Что произошло
Речь идет о баге в API балансировщика нагрузки Progress Kemp LoadMaster. По данным Progress, проблема связана с подстановкой неподготовленного ввода: злоумышленник передает специально сформированный запрос, а устройство обрабатывает его как команды операционной системы.
eSentire утверждает, что попытки атак начались 29 июня 2026 года. В компании отметили, что в их наблюдениях атаки завершились неудачей и признаков постэксплуатационной активности не было.
Но сам факт попыток уже важен. Когда уязвимость получает публичное описание, а вместе с ним и proof-of-concept, атаки обычно быстро множатся. Схожую динамику мы уже видели и в других историях с корпоративными продуктами — например, в разборе атаки на связку вредоносов и инфраструктуры и в материале о том, как AI-агенты с инструментами нашли новую дыру в корпоративной защите.
Как это работает
watchTowr Labs связала проблему с функцией escape_quotes() внутри приложения балансировщика. Судя по описанию, она неверно завершает очищенные строки нулевым байтом, из-за чего возникает чтение за пределами буфера и доступ к соседней области памяти.
Дальше атакующий отправляет запрос к эндпоинту /accessv2. Если память удается подстроить нужным образом, устройство начинает воспринимать часть входных данных как команду. Так и появляется окно для command injection — внедрения системных команд.
Важная деталь: защита рушится еще до проверки учетных данных. Иными словами, снаружи это выглядит как обычный запрос к API, а внутри может запускаться чужой код.
Отдельно исследователи называют IP-адреса, с которых шли попытки атак: 192.42.116[.]58, 192.42.116[.]105 и 146.70.139[.]154. Для администраторов это повод проверить журналы и сопоставить события с собственной телеметрией.
Кого затронуло и чем это грозит
Под ударом оказались устройства Progress Kemp LoadMaster, которые используют для балансировки трафика и обслуживания корпоративных сервисов. Если такой узел скомпрометируют, атакующий получает не просто доступ к одной машине, а удобную точку для дальнейшего движения внутри сети.
Последствия зависят от того, как именно настроен периметр. В худшем случае злоумышленник может вмешаться в маршрутизацию трафика, подменять запросы или использовать устройство как плацдарм для атаки на внутренние системы.
Это уже вторая история с LoadMaster, где заметили активные попытки эксплуатации. Ранее в поле зрения исследователей попадала CVE-2024-1212 — еще одна критическая ошибка с удаленным выполнением команд.
Что делать сейчас
Если у вас в инфраструктуре есть Progress Kemp LoadMaster, действовать нужно без паузы. Сначала проверьте, какая версия установлена, и сравните ее с рекомендациями производителя. Затем посмотрите журналы на предмет обращений к /accessv2, а также на любые аномальные команды и неожиданные перезапуски.
Если обновление уже доступно, ставьте его в приоритет. Если патча пока нет или окно на обслуживание открывается не сразу, ограничьте доступ к панели управления и API только с доверенных адресов.
Для удаленной работы сотрудников и администрирования из незнакомой сети полезно заранее продумать защиту канала связи. Здесь уместен дополнительный слой для чужих сетей — как мера предосторожности, а не как замена обновлениям и фильтрации доступа.
Чек-лист
- Проверить, используется ли Progress Kemp LoadMaster в инфраструктуре.
- Сверить установленную версию с бюллетенем производителя.
- Просмотреть логи на обращения к
/accessv2и другие необычные запросы. - Проверить, не появлялись ли неожиданные команды, перезапуски и изменения конфигурации.
- Ограничить доступ к админ-панели и API только доверенными адресами.
- Установить обновление, как только оно доступно.
- Если есть сомнения в целостности узла, вывести его из контура и провести проверку.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.