• <50 publicly-exposed Progress Flowmon hosts with exposed web interfaces
Principales países afectados:
1. República Checa
2. EE.UU.
3. Japón
4. Italia
5. 5. Corea del Sur
Resumen
Censys es consciente de que el 2 de abril de 2024 se publicó como CVE-2024-2389 una vulnerabilidad crítica en las interfaces web de Progress Flowmon que permitía a un atacante no autenticado acceder de forma remota a través de la API para ejecutar comandos arbitrarios del sistema. Más recientemente, se ha informado de que se han publicado múltiples exploits de prueba de concepto para esta vulnerabilidad.
Descripción de los activos
Progress Flowmon es una herramienta de supervisión del tráfico de red que "combina funciones de seguimiento del rendimiento, diagnóstico y detección y respuesta de red"(Bleepingcomputer). Es probable que estos activos sean lógicamente centrales en la red de una empresa y pueden tener acceso a una miríada de otros activos de la empresa.
Impacto
Progress Flowmon "es utilizado por más de 1.500 empresas de todo el mundo, entre ellas SEGA, KIA y TDK, Volkswagen...."(Bleepingcomputer).
Consecuencias potenciales de una explotación exitosa
Mediante una llamada a la API creada de forma exclusiva, un atacante puede obtener acceso remoto y no autenticado a la interfaz web de Flowmon. Este acceso puede entonces permitir a un atacante manipular el activo para permitir al atacante incrustar comandos maliciosos y ejecutar código arbitrario, esencialmente garantizando la toma de control del activo.
Teniendo en cuenta las capacidades de supervisión y respuesta de la red de Flowmon, la toma de control de un activo de este tipo podría proporcionar importantes capacidades de enumeración de una empresa que utilice dicho activo, en función de los activos que dirijan el tráfico a través de Flowmon. Dicha inteligencia de red podría ayudar a un atacante a comprender el valor de los activos de dicha organización y a comprender otros posibles objetivos de activos.
Activos afectados
Según el NVD, este problema afecta a Flowmon "versiones anteriores a 11.1.14 y 12.3.5". Todas las versiones de Flowmon anteriores a la 11.0 (10.x e inferiores) no están afectadas por esta vulnerabilidad.
CensysElequipo de Respuesta Rápida ha sido capaz de identificar las interfaces web de Progress Flowmon expuestas públicamente a Internet. A continuación se muestra una consulta que descubrirá con precisión los hosts con interfaces web Flowmon expuestas.
Censys Nombre de riesgo ASM para dispositivos potencialmente vulnerables
"Interfaz web Flowmon de Progress vulnerable CVE-2024-2389"
La consulta anterior encontrará las interfaces web Flowmon expuestas asociadas a su organización en su espacio de trabajo ASM en un plazo aproximado de 24 horas.
Censys Consulta ASM para activos expuestos.
Esta consulta se comparte para los clientes que desean refinar o alterar el versionado para operaciones personalizadas.
Censys Consultas de búsqueda
se comparten directamente con los clientes de Censys . Si desea obtener la consulta Censys para identificar instancias globales relacionadas con este problema, o necesita ayuda, póngase en contacto con nosotros.
Recomendaciones
Si necesita ayuda para identificar positivamente estos activos, háganoslo saber.
