Kemp LoadMaster

Die Schwachstelle betrifft die Verwaltungsoberfläche (Management-Interface) des Progress Kemp LoadMaster, einer Software zur Lastverteilung des Netzwerkverkehrs auf mehrere Server. Über diese Verwaltungsschnittstelle kann ein Angreifer aus der Ferne und ohne gültige Zugangsdaten auf das System zugreifen. Es handelt sich um eine Befehlsinjektion auf Betriebssystemebene (OS Command Injection): Der Angreifer schleust eigene Befehle ein, die das zugrunde liegende Betriebssystem dann ausführt. Im Ergebnis kann er beliebige Systembefehle auf dem Gerät ausführen und damit die Kontrolle über das System übernehmen. Da der Angriff weder eine Anmeldung noch eine Benutzerinteraktion voraussetzt und sich direkt über die Verwaltungsoberfläche durchführen lässt, steht der Angriffsweg überall dort offen, wo diese Oberfläche aus dem Netz erreichbar ist. Betroffen ist Netzwerkinfrastruktur, sodass eine Übernahme den über das Gerät laufenden Datenverkehr insgesamt gefährdet.