Lỗ hổng Pre-Auth RCE trong Progress Kemp LoadMaster đang bị khai thác tích cực

Một lỗ hổng bảo mật nghiêm trọng mới được công bố ảnh hưởng đến Progress Kemp LoadMaster đang ghi nhận các nỗ lực khai thác tích cực, theo báo cáo từ Đơn vị Phản ứng Đe dọa (TRU) của eSentire. Công ty an ninh mạng Canada cho biết họ đã xác định được các nỗ lực khai thác nhắm vào CVE-2026-8037 (điểm CVSS: 9.6), một lỗ hổng OS command injection có thể bị lợi dụng để thực thi mã tùy ý trên các thiết bị bị ảnh hưởng.
Lỗ hổng Progress Kemp LoadMaster

Một lỗ hổng bảo mật nghiêm trọng mới được công bố ảnh hưởng đến Progress Kemp LoadMaster đang ghi nhận các nỗ lực khai thác tích cực, theo một báo cáo cố vấn từ Đơn vị Phản ứng Đe dọa (TRU) của eSentire.

Công ty an ninh mạng Canada cho biết họ đã xác định được các nỗ lực khai thác nhắm vào CVE-2026-8037 (điểm CVSS: 9.6), một lỗ hổng OS command injection có thể bị lợi dụng để thực thi mã tùy ý (RCE) trên các thiết bị bị ảnh hưởng. Hoạt động khai thác bắt đầu từ ngày 29 tháng 6 năm 2026.

"Lỗ hổng OS Command Injection Remote Code Execution trong API của Progress LoadMaster cho phép kẻ tấn công chưa xác thực có quyền thực thi các lệnh tùy ý trên thiết bị LoadMaster bằng cách khai thác dữ liệu đầu vào không được làm sạch," Progress cho biết trong một bản tin an ninh về lỗ hổng được phát hành vào đầu tháng trước.

Phân tích kỹ thuật về lỗ hổng

Trong một phân tích được công bố tuần này, watchTowr Labs mô tả lỗ hổng bắt nguồn từ một hàm có tên "escape_quotes()" bên trong ứng dụng cân bằng tải, xuất phát từ việc xử lý không đúng cách dữ liệu do người dùng cung cấp.

Vấn đề nằm ở chỗ hàm này không thể kết thúc chuỗi đã được làm sạch bằng ký tự null một cách chính xác, dẫn đến lỗi đọc ngoài phạm vi (out-of-bounds read) vào bộ nhớ heap liền kề. Kẻ tấn công có thể vũ khí hóa lỗ hổng này bằng cách gửi các yêu cầu được thiết kế đặc biệt đến endpoint "/accessv2" nhằm thao túng bộ nhớ heap để thực hiện chèn lệnh.

Tác động của việc khai thác thành công là rất nghiêm trọng, vì nó cho phép kẻ tấn công chưa xác thực chạy các lệnh tùy ý trên thiết bị bị ảnh hưởng mà không cần sở hữu thông tin đăng nhập hợp lệ.

Tình hình khai thác thực tế

eSentire lưu ý rằng các nỗ lực khai thác mà họ quan sát được đều kết thúc thất bại, do đó không có hoạt động xâm nhập nào xảy ra sau đó. Tuy nhiên, việc xuất hiện mã khai thác thử nghiệm (PoC) và các chi tiết kỹ thuật chuyên sâu dự kiến sẽ thúc đẩy hoạt động độc hại nhắm vào CVE-2026-8037 trong tương lai gần.

Các nỗ lực tấn công bắt nguồn từ các địa chỉ IP sau:

  • 192.42.116[.]58
  • 192.42.116[.]105
  • 146.70.139[.]154

CVE-2026-8037 là lỗ hổng Progress Kemp LoadMaster thứ hai ghi nhận các nỗ lực khai thác tích cực sau CVE-2024-1212 (điểm CVSS: 10.0), một lỗ hổng OS command injection nghiêm trọng khác có thể bị lạm dụng để thực thi lệnh hệ thống tùy ý.