• <50 publicly-exposed Progress Flowmon hosts with exposed web interfaces
Die am stärksten betroffenen Länder:
1. Tschechische Republik
2. USA
3. Japan
4. Italien
5. Südkorea
Zusammenfassung
Censys ist sich bewusst, dass am 02. April 2024 eine kritische Schwachstelle in den Progress Flowmon-Webschnittstellen veröffentlicht wurde, die es einem Angreifer ermöglicht, über die API unautorisierten Fernzugriff zu erhalten und beliebige Systembefehle auszuführen ( CVE-2024-2389). Kürzlich wurde berichtet, dass mehrere Proof-of-Concept-Exploits für diese Sicherheitslücke veröffentlicht wurden.
Asset-Beschreibung
Progress Flowmon ist ein Tool zur Überwachung des Netzwerkverkehrs, das "Leistungsverfolgung, Diagnose und Netzwerkerkennungs- und Reaktionsfunktionen"(Bleepingcomputer) kombiniert. Solche Anlagen befinden sich wahrscheinlich im logischen Zentrum eines Unternehmensnetzwerks und haben möglicherweise Zugriff auf eine Vielzahl anderer Unternehmensanlagen.
Aufprall
Progress Flowmon "wird von mehr als 1.500 Unternehmen auf der ganzen Welt verwendet, darunter SEGA, KIA und TDK, Volkswagen...." (Bleepingcomputer).
Mögliche Folgen einer erfolgreichen Ausnutzung
Mithilfe eines einmalig erstellten API-Aufrufs kann ein Angreifer einen entfernten und nicht authentifizierten Zugriff auf die Flowmon-Weboberfläche erlangen. Mit diesem Zugriff kann ein Angreifer die Anlage so manipulieren, dass er bösartige Befehle einbetten und beliebigen Code ausführen kann, was im Wesentlichen die Übernahme der Anlage ermöglicht.
In Anbetracht der Netzwerküberwachungs- und -reaktionsfähigkeiten von Flowmon könnte die Übernahme einer solchen Anlage erhebliche Aufzählungsmöglichkeiten für ein Unternehmen bieten, das eine solche Anlage nutzt, je nachdem, welche Anlagen den Datenverkehr durch Flowmon leiten. Eine solche Netzwerkintelligenz könnte einem Angreifer dabei helfen, den Wert der Anlagen eines solchen Unternehmens zu verstehen und Einblicke in andere potenzielle Zielobjekte zu erhalten.
Betroffene Vermögenswerte
Dem NVD zufolge betrifft dieses Problem Flowmon "Versionen vor 11.1.14 und 12.3.5". Alle Flowmon-Versionen vor 11.0 (10.x und niedriger) sind von dieser Sicherheitslücke nicht betroffen.
CensysDasRapid Response Team war in der Lage, Progress Flowmon-Webschnittstellen zuidentifizieren, die öffentlich dem Internet ausgesetzt sind. Nachfolgend finden Sie eine Abfrage, mit der Sie Hosts mit offenen Flowmon-Webschnittstellen genau ermitteln können.
Censys ASM Risikobezeichnung für potenziell gefährdete Geräte
"Anfällige Progress Flowmon-Webschnittstelle CVE-2024-2389"
Die obige Abfrage findet innerhalb von ca. 24 Stunden exponierte Flowmon-Webschnittstellen, die mit Ihrer Organisation in Ihrem ASM-Arbeitsbereich verbunden sind.
Censys ASM-Abfrage für exponierte Assets.
Diese Abfrage wird für Kunden freigegeben, die die Versionierung für benutzerdefinierte Vorgänge verfeinern oder ändern möchten.
Censys Search Abfragen
werden direkt an die Kunden von Censys weitergegeben. Wenn Sie die Abfrage Censys erhalten möchten, um globale Instanzen im Zusammenhang mit diesem Problem zu identifizieren, oder wenn Sie Hilfe benötigen, kontaktieren Sie uns bitte.
Empfehlungen für die Behebung
Wenn Sie Hilfe bei der eindeutigen Identifizierung dieser Vermögenswerte benötigen, lassen Sie es uns bitte wissen.
