速修复Progress Flowmon中的这个CVSS满分漏洞

最新推荐文章于 2024-09-23 16:16:48 发布
转载 最新推荐文章于 2024-09-23 16:16:48 发布 · 435 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519358&idx=2&sn=398290f1e1cbf32a9f72ff26e3d708c4&chksm=ebe2cadf914b9ab5e25a013f6c879adefc542e31d137ca4e72a0190b96c8844b1b2027685d8c&scene=126&sessionid=0

Flowmon的PerformanceFlowmon工具存在高危漏洞,影响全球1500多家企业的网络安全。攻击者可通过API获取未认证访问,执行任意命令。漏洞已公开利用,ProgressSoftware已发布12.3.4和11.1.14版本的安全更新。奇安信建议尽快升级和修补受影响的系统。

4797f72e8b0ed5d5d092106810f24de8.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

用于监控网络性能和可见性的工具Progess Flowmon中,存在一个严重漏洞,其PoC 利用代码已发布。

Progress Flowmon 具有性能追踪、诊断及网络检测和响应特性,客户遍布全球1500多家企业,包括 SEGA、起亚、TDK、大众、Orange和Tietoevry等。

该漏洞的编号是CVE-2024-2389,CVSS评分为10分,由Rhino 安全实验室的研究人员发现。攻击者可通过特殊构造的API请求获得对 Flowmon web 接口的未认证访问权限,利用该漏洞执行任意系统命令。Flowon 的开发者 Progress Software 公司最初在4月4日提醒注意该漏洞,指出它影响 v12.x和v11.x版本。该公司督促系统管理员升级至最新版本 v12.3.4和11.1.14。

安全更新已通过“自动包下载”系统或厂商下载中心的自动和手动方式发布。Progress软件公司也建议升级所有 Flowmon 模块。

利用代码已发布

Rhino 安全实验室在今天发布了该漏洞的技术详情以及演示,展示了攻击者如何利用该漏洞植入 webshell 并提权至 root。

研究人员解释称,他们能够操纵 “pluginPath” 或“文件参数”注入命令以嵌入恶意命令。通过命令替换语句如 $(…),研究人员可实现任意命令执行。他们解释称,“命令盲目执行,因此无法看到所执行命令的输出,但可以将webshell写入 /var/www/shtml/。”

值得注意的是,意大利CSIRT 在约两周前提醒称,利用代码已出现。一名研究员曾在4月10日发布有效的 PoC。

Flowmon 服务器被暴露

遭暴露的 Flowmon 实例似乎取决于搜索引擎。

在本文发布之时,Fofa 搜索引擎显示约有500台 Flowmon 服务器被暴露在网络;Shodan和Hunter搜索显示少于100台。4月19日,Progress软件公司发布安全公告向客户保证称并未发现利用该漏洞的证据。然而,应当尽快更新至安全版本至关重要。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

GitLab强烈建议尽快修复 CVSS 满分漏洞

Synology 修复严重的VPN路由器漏洞,CVSS评分10分

热门开源后端软件Parse Server中存在严重的 RCE ,CVSS评分10分

戴尔 Wyse Thin 客户端设备受两个 CVSS 10分严重漏洞影响

原文链接

https://www.bleepingcomputer.com/news/security/maximum-severity-flowmon-bug-has-a-public-exploit-patch-now/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

982bc9591be87a749c0068c420a2fcc7.jpeg

f72f1c306a7434aee56d3a8bdaac3e1f.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   99ffeab068afcb5e3fe4567f157780e2.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

28、基于CVSS漏洞评估
gg901的博客
06-30 69
本文详细介绍了通用漏洞评分系统(CVSS)的基本原理、组成要素和评分计算方法,并探讨了其在实际安全评估中的应用场景。通过案例分析,展示了CVSS漏洞优先级排序、资源分配和安全决策支持方面的实际效果。此外,文章还讨论了CVSS的优势与局限性,并提出了优化方法,包括自动化工具的使用、结合其他评估方法以及定制化调整。最后,重点阐述了CVSS在DevOps环境中的应用实践,强调其在持续集成和运维流程中的重要价值。
27、基于CVSS漏洞评估:提升软件系统安全性的关键
gg901的博客
06-29 80
本文详细介绍了基于CVSS(通用漏洞评分系统)的漏洞评估方法,涵盖其核心组成部分、量化指标、评分计算流程以及在实际安全管理中的应用。通过具体案例和图表展示,为安全专业人员提供了一套系统化的工具和框架,以提升软件系统的安全性,并优化资源分配与决策支持。
漏洞复现】Progress Flowmon 命令注入漏洞CVE-2024-2389
失心少年
04-25 612
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!2024年4月互联网上披露其存在前台命令注入漏洞,攻击者可利用该漏洞执行任意命令,控制服务器。向靶场发送如下数据包,其中ping+dnslog地址需要修改成自己dnslog地址。
安全漏洞评分系统(CVSS
KerryRuan的专栏
04-08 3万+
CVSS : Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。 CVSS是安全内容自动化协议(SCAP)[2]的一部分,通常CVSS同CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新。 CVSS的目标是为所有软件安全漏洞提供一个严重程度的评级
【网络安全】CVSS 10信息披露+图片元数据不适当处理
等风来
08-01 1643
添加元数据后,我将图片从客户聊天框发送到卖家。我登录卖家帐户并下载收到的图片。发送后,我们也可以从客户的帐户下载。下载后,我检查了下载图片的元数据,发现我添加到图片中的元数据仍然存在,这可能会导致事后任何拥有该照片的人泄露照片拍摄地点或其他个人信息。
Progress Flowmon 未授权RCE漏洞复现(CVE-2024-2389)
0xSec
04-11 1586
未经身份验证的远程攻击者可以访问 Flowmon 的 Web 界面,以发出精心设计的 API 命令,该命令将允许在未经身份验证的情况下执行任意系统命令,获取服务器权限。
安全漏洞评分系统CVSS
2301_76563067的博客
09-26 4609
通用漏洞评分系统(Common Vulnerability Scoring System,CVSSCVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10,最小为0。得分7~10漏洞通常被认为比较严重,得分在4~6.9之间的是中级漏洞,0~3.9的则是低级漏洞
深入了解通用漏洞评分系统(CVSS
qq_33163046的博客
09-23 6075
2015 年,CVSS 3.0 版本发布。它新增了用户交互(UI)和必要权限(PR)两个指标,为攻击复杂度(AC)指标引入了新的取值,还新增了 Scope (S) 指标来处理漏洞影响其他系统的情形。这一版本在漏洞评估的准确性和全面性上有了很大的提升。 2019 年,CVSS 3.1 版本推出。它没有引入新的指标,主要是对标准给出了更清晰的解释,增加了易用性,使得安全专业人员更容易理解和应用 CVSS 标准。 2023 年 10 月,CVSS 4.0 版本正式发布。它重新定义了评分术语体系,强调 CVSS
CVSS评分策略分析及近年来满分漏洞盘点
C20220511的博客
05-13 1万+
01 引言 近两年正如许多安全公司的研究员亲身经历的那样,网络攻击量显著增加,重大漏洞被相继爆出并伴随着在野利用。如去年年底的log4shell(CVE-2021-44228)和今年爆出的spring4shell(CVE-2022-22965)在安全圈里都掀起了不小的风浪。由于在分析spring漏洞时cve编号还没有出来,自评影响力也没那么“核弹级”,后续就没怎么关注这个漏洞的。最近突然想看看这个漏洞CVSS评分,看看官方是怎么给这漏洞做影响力定义的。查看后发现该漏洞CVSSV2.0评分为7.5,CV.
软件安全的关键:CVSS 4.0和漏洞管理
网络研究观
06-17 2480
您如何评估软件安全漏洞?是否可以确定其严重程度?
东莞dell服务器维修上门服务,CVSS 10漏洞影响Dell Wyse Thin客户端设备
weixin_39802519的博客
08-06 450
近日,CyberMDX 研究人员公开了今年6月在Dell Wyse Thin客户端中发现了2个安全漏洞漏洞CVE编号为CVE-2020-29491 和 CVE-2020-29492,这两个漏洞CVSS 评分都为10分,漏洞影响运行ThinOS v8.6及更低版本的所有设备。攻击者利用这两个漏洞可以在受影响的设备上远程运行恶意代码和访问受害者设备上的任意文件。Dell Wyse Thin Clie...
立即修补!Flowmon最严重的漏洞已有公开利用程序
leyang0910的博客
05-01 524
bleepingcomputer网站消息,Progress Flowmon中存在一项严重安全漏洞,已发布概念验证利用代码。Progress Flowmon是一款用于监控网络性能和可见性的工具,结合了性能跟踪、诊断以及网络检测和响应功能。全球有超过1500家公司在使用,包括世嘉、起亚、TDK、大众、Orange和Tietoevry。这个安全问题是Rhino Security Labs的研究人员发现的,严重程度评分为10/10,目前被跟踪为CVE-2024-2389。
CVE-2024-2389 未经身份验证的命令注入
技术超强的网络安全平台
09-18 1647
应该注意的是,run() 方法还接受第二个参数,它是一个参数数组,将使用 escapeshellarg() 括在引号中,以防止命令注入。如果 run() 的第二个参数中将参数作为数组,则不太可能利用这一点,因为数组中的每个项目都被视为一个参数,并在调用 assembleCommand() 时通过 escapeshellarg() 传递。在 “PdfGenerator.php” 中,generate() 方法 [1] 只是调用 getExec.run() [2] 方法的包装器,该方法执行系统命令。
漏洞风险评估:CVSS介绍及计算
热门推荐
YQ的博客
05-14 5万+
本文出自 “Jack zhai” 博客,请务必保留此出处http://zhaisj.blog.51cto.com/219066/56451  CVSS的计算公式与参数   1、基本度量值的计算公式与参数      2、时间度量值的计算公式与参数      3、环境度量值的计算公式与参数      4、脆弱性值计算公式   V = INT [ (
Garcke_Product-Sentiment-on-the-Bertopic-Model_23212_1765654073655.zip
12-15
Garcke_Product-Sentiment-on-the-Bertopic-Model_23212_1765654073655.zip
使用电感耦合的无人机动态无线充电-Dynamic Wireless Charging for (UAV) using Inductive Coupling
最新发布
12-15
演示了为无线无人机电池充电设计的感应电力传输(IPT)系统 Dynamic Wireless Charging for (UAV) using Inductive Coupling 模拟了为无人机(UAV)量身定制的无线电力传输(WPT)系统。该模型演示了直流电到高频交流电的转换,通过磁共振在气隙中无线传输能量,以及整流回直流电用于电池充电。 系统拓扑包括: 输入级:使用IGBT/二极管开关连接到全桥逆变器的直流电压源(12V)。 开关控制:脉冲发生器以85 kHz(周期:1/85000秒)的开关频率运行,这是SAE J2954无线充电标准的标准频率。 耦合级:使用互感和线性变压器块来模拟具有特定耦合系数的发射(Tx)和接收(Rx)线圈。 补偿:包括串联RLC分支,用于模拟谐振补偿网络(将线圈调谐到谐振频率)。 输出级:桥式整流器(基于二极管),用于将高频交流电转换回直流电,以供负载使用。 仪器:使用示波器块进行全面的电压和电流测量,用于分析输入/输出波形和效率。 模拟详细信息: 求解器:离散Tustin/向后Euler(通过powergui)。 采样时间:50e-6秒。 4.主要特点 高频逆变:模拟85 kHz下IGBT的开关瞬态。 磁耦合:模拟无人机着陆垫和机载接收器之间的松耦合行为。 Power GUI集成:用于专用电力系统离散仿真的设置。 波形分析:预配置的范围,用于查看逆变器输出电压、初级/次级电流和整流直流电压。 5.安装与使用 确保您已安装MATLAB和Simulink。 所需工具箱:必须安装Simscape Electrical(以前称为SimPowerSystems)工具箱才能运行sps_lib块。 打开文件并运行模拟。
跨鲸电商ERP是一个基于SpringCloudAlibaba微服务架构的现代化企业资源计划系统_它专注于电商领域的商品全生命周期管理采购销售流程协同库存精细化管控以及多维度系统管理.zip
12-15
跨鲸电商ERP是一个基于SpringCloudAlibaba微服务架构的现代化企业资源计划系统_它专注于电商领域的商品全生命周期管理采购销售流程协同库存精细化管控以及多维度系统管理.zip
平抑风电波动的电-氢混合储能容量优化配置(Matlab代码实现)
12-15
平抑风电波动的电-氢混合储能容量优化配置(Matlab代码实现)内容概要:本文围绕“平抑风电波动的电-氢混合储能容量优化配置”展开,利用Matlab代码实现相关模型构建与仿真分析。重点在于通过电储能(如电池)和氢储能(如电解槽、储氢罐、燃料电池)的互补特性,优化配置储能系统容量,以有效平抑风电出力的间歇性与波动性,提升可再生能源并网稳定性。文中可能涉及目标函数设计(如成本最小、波动率最低)、约束条件建模(功率平衡、设备容量、效率等)以及求解算法的应用(如优化工具箱或智能算法),并通过仿真验证所提方法的有效性。; 适合人群:具备一定电力系统基础知识和Matlab编程能力的研究生、科研人员及从事新能源、储能系统设计的工程技术人员。; 使用场景及目标:①研究风电并网带来的功率波动问题及解决方案;②学习电-氢混合储能系统的工作原理与数学建模方法;③掌握利用Matlab进行储能容量优化配置的仿真技术,为实际项目提供理论参考和技术支持。; 阅读建议:建议结合Matlab代码与文档内容同步阅读,重点关注模型构建逻辑、参数设置及优化结果分析部分,有条件者可自行修改参数或模型进行复现实验,以加深理解。
基于经典论文ModelingtheWorldfromInternetPhotoCollectionsIJCV实现的三维重建系统_利用从互联网照片集合中恢复场景.zip
12-15
基于经典论文ModelingtheWorldfromInternetPhotoCollectionsIJCV实现的三维重建系统_利用从互联网照片集合中恢复场景.zip
okhttp中cve-2023-3782这个漏洞在哪个版本修复
09-19
> 引用[1]:1.CVE-2023-3782 这是 OKHttp 库中的一个漏洞。OKHttp支持Brotli压缩算法。如果HTTP响应指定了Brotli压缩,由于OKHttp缺乏对“内存炸弹”攻击的防御,客户端可能会因内存耗尽而崩溃。[^1] 这个描述明确...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值