2 Luglio 2026 13:08    Alert

Progress Kemp LoadMaster CVE-2026-8037: RCE pre-autenticazione sull'API, tentativi di sfruttamento dal 29 giugno

Dopo firewall e VPN, il bersaglio torna a essere un bilanciatore di carico: la CVE-2026-8037 in Progress Kemp LoadMaster, l'application delivery controller usato per bilanciare e pubblicare servizi web, è passata da advisory di vendor a oggetto di tentativi di sfruttamento in rete. È una vulnerabilità di command injection che porta a esecuzione di codice da remoto senza autenticazione, con CVSS 9.6, esposta a chiunque possa raggiungere l'API di gestione dell'apparato. L'analisi tecnica di watchTowr Labs ha ricondotto il difetto alla funzione escape_quotes(), incaricata di sanificare l'input prima di passarlo a un comando di shell: la funzione non terminava correttamente le stringhe sanificate e lasciava il buffer non inizializzato, condizione sfruttabile tramite richieste appositamente costruite verso l'endpoint /accessv2 per iniettare comandi.

Progress aveva pubblicato l'advisory il 4 giugno 2026; ACN ha aggiornato il proprio alert il 2 luglio recependo il passaggio a sfruttamento attivo, dopo che il team di risposta di eSentire ha rilevato tentativi di exploit a partire dal 29 giugno 2026. Nei casi osservati da eSentire gli attacchi non sono andati a segno e non è seguita attività post-compromissione, ma la finestra tra patch e sfruttamento si conferma strettissima. È il secondo difetto critico di LoadMaster a finire sotto attacco, dopo la CVE-2024-1212, e si inserisce nel filone ormai costante di sfruttamento degli apparati perimetrali che abbiamo seguito su Cisco, Palo Alto, Check Point e SonicWall: dispositivi esposti per definizione, la cui compromissione dà un punto d'ingresso privilegiato verso la rete interna.

A doversene preoccupare è chi espone l'interfaccia API di LoadMaster su reti non fidate: è la condizione necessaria allo sfruttamento, quindi limitarne l'accesso è già una mitigazione concreta. Trattandosi di un componente che si trova davanti ai servizi pubblicati, spesso in PA e provider, un suo cedimento espone a intercettazione del traffico e movimento laterale.

  • Versioni affette: Progress Kemp LoadMaster GA fino alla v7.2.63.1 inclusa e LTSF fino alla v7.2.54.17 inclusa, con API abilitata.
  • Azione raccomandata: aggiornare a LoadMaster GA v7.2.63.2 o LTSF v7.2.54.18 (o successive); limitare l'accesso all'API di gestione a reti fidate o disabilitarla dove non necessaria; verificare i log dell'endpoint /accessv2 alla ricerca di richieste anomale.

 

Fonti: ACN, watchTowr Labs, The Hacker News, eSentire