• <50 publicly-exposed Progress Flowmon hosts with exposed web interfaces
Principaux pays touchés :
1. République tchèque
2. ÉTATS-UNIS
3. Japon
4. L'Italie
5. Corée du Sud
Résumé
Censys est conscient que le 2 avril 2024, une vulnérabilité critique sur les interfaces web de Progress Flowmon permettant à un attaquant non authentifié d'accéder à distance via l'API pour exécuter des commandes système arbitraires, a été publiée sous le nom de CVE-2024-2389. Plus récemment, il a été rapporté qu'il y a eu de multiples exploits de preuve de concept publiés pour cette vulnérabilité.
Description de l'actif
Progress Flowmon est un outil de surveillance du trafic réseau qui "combine le suivi des performances, les diagnostics et les fonctions de détection et de réponse du réseau"(Bleepingcomputer). Ces actifs sont susceptibles d'être logiquement centraux dans le réseau d'une entreprise et d'avoir accès à une myriade d'autres actifs de l'entreprise.
Impact
Progress Flowmon "est utilisé par plus de 1 500 entreprises dans le monde, dont SEGA, KIA et TDK, Volkswagen...." (Bleepingcomputer).
Conséquences potentielles d'une exploitation réussie
En utilisant un appel API unique, un pirate peut obtenir un accès distant et non authentifié à l'interface web de Flowmon. Cet accès peut alors permettre à un attaquant de manipuler l'actif pour y intégrer des commandes malveillantes et exécuter un code arbitraire, ce qui permet essentiellement de prendre le contrôle de l'actif.
Compte tenu des capacités de surveillance et de réponse du réseau de Flowmon, la prise de contrôle d'un tel équipement pourrait fournir des capacités d'énumération significatives d'une entreprise utilisant cet équipement, en fonction des équipements qui acheminent le trafic par l'intermédiaire de Flowmon. Ces renseignements sur le réseau pourraient aider un pirate à comprendre la valeur des actifs de l'organisation et à découvrir d'autres cibles potentielles.
Actifs touchés
Selon la NVD, ce problème affecte les versions de Flowmon antérieures aux versions 11.1.14 et 12.3.5. Toutes les versions de Flowmon antérieures à la version 11.0 (10.x et inférieures) ne sont pas concernées par cette vulnérabilité.
CensysL'équipe de réponse rapide a été en mesure d'identifier les interfaces web de Progress Flowmon publiquement exposées à l'internet. Vous trouverez ci-dessous une requête qui vous permettra d'identifier avec précision les hôtes dont les interfaces web Flowmon sont exposées.
Censys Nom du risque ASM pour les dispositifs potentiellement vulnérables
"Interface web de Progress Flowmon vulnérable CVE-2024-2389"
La requête ci-dessus trouvera les interfaces web Flowmon exposées associées à votre organisation dans votre espace de travail ASM dans un délai d'environ 24 heures.
Censys Requête ASM pour les actifs exposés.
Cette requête est partagée par les clients qui souhaitent affiner ou modifier les versions pour des opérations personnalisées.
Censys Les requêtes de recherche
sont partagées directement avec les clients de Censys . Si vous souhaitez obtenir la requête Censys pour identifier les instances globales liées à ce problème, ou si vous avez besoin d'aide, veuillez nous contacter.
Recommandations pour l’assainissement
Si vous avez besoin d'aide pour identifier positivement ces actifs, n'hésitez pas à nous le faire savoir.
