На устройства Progress Kemp LoadMaster снова обратили внимание атакующие. Канадская eSentire сообщила о попытках эксплуатации критической уязвимости CVE-2026-8037, которую производитель оценил в 9,6 балла по CVSS.

Сценарий неприятный: атакующему не нужны логин и пароль. Если сработает цепочка эксплойта, он может заставить устройство выполнять произвольные команды от имени системы.

Что произошло

Речь идет о баге в API балансировщика нагрузки Progress Kemp LoadMaster. По данным Progress, проблема связана с подстановкой неподготовленного ввода: злоумышленник передает специально сформированный запрос, а устройство обрабатывает его как команды операционной системы.

eSentire утверждает, что попытки атак начались 29 июня 2026 года. В компании отметили, что в их наблюдениях атаки завершились неудачей и признаков постэксплуатационной активности не было.

Но сам факт попыток уже важен. Когда уязвимость получает публичное описание, а вместе с ним и proof-of-concept, атаки обычно быстро множатся. Схожую динамику мы уже видели и в других историях с корпоративными продуктами — например, в разборе атаки на связку вредоносов и инфраструктуры и в материале о том, как AI-агенты с инструментами нашли новую дыру в корпоративной защите.

Как это работает

watchTowr Labs связала проблему с функцией escape_quotes() внутри приложения балансировщика. Судя по описанию, она неверно завершает очищенные строки нулевым байтом, из-за чего возникает чтение за пределами буфера и доступ к соседней области памяти.

Дальше атакующий отправляет запрос к эндпоинту /accessv2. Если память удается подстроить нужным образом, устройство начинает воспринимать часть входных данных как команду. Так и появляется окно для command injection — внедрения системных команд.

Важная деталь: защита рушится еще до проверки учетных данных. Иными словами, снаружи это выглядит как обычный запрос к API, а внутри может запускаться чужой код.

Отдельно исследователи называют IP-адреса, с которых шли попытки атак: 192.42.116[.]58, 192.42.116[.]105 и 146.70.139[.]154. Для администраторов это повод проверить журналы и сопоставить события с собственной телеметрией.

Кого затронуло и чем это грозит

Под ударом оказались устройства Progress Kemp LoadMaster, которые используют для балансировки трафика и обслуживания корпоративных сервисов. Если такой узел скомпрометируют, атакующий получает не просто доступ к одной машине, а удобную точку для дальнейшего движения внутри сети.

Последствия зависят от того, как именно настроен периметр. В худшем случае злоумышленник может вмешаться в маршрутизацию трафика, подменять запросы или использовать устройство как плацдарм для атаки на внутренние системы.

Это уже вторая история с LoadMaster, где заметили активные попытки эксплуатации. Ранее в поле зрения исследователей попадала CVE-2024-1212 — еще одна критическая ошибка с удаленным выполнением команд.

Что делать сейчас

Если у вас в инфраструктуре есть Progress Kemp LoadMaster, действовать нужно без паузы. Сначала проверьте, какая версия установлена, и сравните ее с рекомендациями производителя. Затем посмотрите журналы на предмет обращений к /accessv2, а также на любые аномальные команды и неожиданные перезапуски.

Если обновление уже доступно, ставьте его в приоритет. Если патча пока нет или окно на обслуживание открывается не сразу, ограничьте доступ к панели управления и API только с доверенных адресов.

Для удаленной работы сотрудников и администрирования из незнакомой сети полезно заранее продумать защиту канала связи. Здесь уместен дополнительный слой для чужих сетей — как мера предосторожности, а не как замена обновлениям и фильтрации доступа.

Чек-лист

  • Проверить, используется ли Progress Kemp LoadMaster в инфраструктуре.
  • Сверить установленную версию с бюллетенем производителя.
  • Просмотреть логи на обращения к /accessv2 и другие необычные запросы.
  • Проверить, не появлялись ли неожиданные команды, перезапуски и изменения конфигурации.
  • Ограничить доступ к админ-панели и API только доверенными адресами.
  • Установить обновление, как только оно доступно.
  • Если есть сомнения в целостности узла, вывести его из контура и провести проверку.
Поделиться: