Progress Flowmon 具有性能追踪、诊断及网络检测和响应特性，客户遍布全球1500多家企业，包括 SEGA、起亚、TDK、大众、Orange和Tietoevry等。

该漏洞的编号是CVE-2024-2389，CVSS评分为10分，由Rhino 安全实验室的研究人员发现。攻击者可通过特殊构造的API请求获得对 Flowmon web 接口的未认证访问权限，利用该漏洞执行任意系统命令。Flowon 的开发者 Progress Software 公司最初在4月4日提醒注意该漏洞，指出它影响 v12.x和v11.x版本。该公司督促系统管理员升级至最新版本 v12.3.4和11.1.14。

安全更新已通过“自动包下载”系统或厂商下载中心的自动和手动方式发布。Progress软件公司也建议升级所有 Flowmon 模块。

Rhino 安全实验室在今天发布了该漏洞的技术详情以及演示，展示了攻击者如何利用该漏洞植入 webshell 并提权至 root。

研究人员解释称，他们能够操纵 “pluginPath” 或“文件参数”注入命令以嵌入恶意命令。通过命令替换语句如 $(…)，研究人员可实现任意命令执行。他们解释称，“命令盲目执行，因此无法看到所执行命令的输出，但可以将webshell写入 /var/www/shtml/。”

值得注意的是，意大利CSIRT 在约两周前提醒称，利用代码已出现。一名研究员曾在4月10日发布有效的 PoC。

遭暴露的 Flowmon 实例似乎取决于搜索引擎。

在本文发布之时，Fofa 搜索引擎显示约有500台 Flowmon 服务器被暴露在网络；Shodan和Hunter搜索显示少于100台。4月19日，Progress软件公司发布安全公告向客户保证称并未发现利用该漏洞的证据。然而，应当尽快更新至安全版本至关重要。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~