Progress Flowmon：重大漏洞

一、简介

　　Progress Flowmon是一款用于监控网络性能和可见性的工具，它结合了性能跟踪、诊断以及网络检测和响应功能。此外，Progress Flowmon还是一整套用于网络映射、应用程序性能以及日志和配置管理的工具。全球有超过1500家公司在使用Progress Flowmon，包括世嘉、起亚、TDK、大众、Orange和Tietoevry等。

二、事件基本情况

　　安全专家发现了Progress Software的Flowmon网络性能监控工具中存在一个严重漏洞，该工具被全球1500多家公司使用，其中包括世嘉、起亚和大众等大型组织。

　　该漏洞获得了CVSS等级的最高严重等级：10分(满分10分)。它是由Rhino Security Labs的专家发现的，注册号为CVE-2024-2389。

　　该漏洞允许攻击者使用特制的API请求在未经身份验证的情况下远程访问 Flowmon Web界面并执行任意系统命令。

　　该程序的开发商Progress Software于4月4日首次报告了该问题，警告该错误影响了产品 v12.x 和 v11.x 的版本。专家建议客户将系统更新到最新版本v12.3.5和v11.1.14。

　　该安全更新已发布给所有Flowmon客户端。您可以自动或从开发人员的下载中心手动获取它。此后该公司建议更新所有Flowmon模块。

　　Rhino安全实验室发布了该漏洞的技术细节以及演示，展示了攻击者如何利用该问题注入Web shell并将权限提升至root。研究人员能够通过操纵“pluginPath”或“file”参数来执行任意命令。

　　值得注意的是，大约两周前，意大利CSIRT专家已经警告称，该漏洞已经可用。根据公开信息，CVE-2024-2389的当前 POC已于4月10日发布。

　　Internet上可用的Flowmon服务器数量根据您选择的搜索引擎而有很大差异。根据Fofa搜索引擎的显示，网络上大约有500个Flowmon 服务器，而Shodan 和Hunter服务显示不到100个。

三、应对策略

　　Progress Software的最后一次安全公告更新是在4月19日。该公司向客户保证，目前没有CVE-2024-2389的活跃漏洞，但敦促尽快将系统更新到安全版本。