CEVIU Logo
Voltar
Falha de RCE pré-autenticação no Progress Kemp LoadMaster expõe sistemas via API

Falha crítica pré-autenticação no Kemp LoadMaster permite execução remota de código via API

Aprofundamento CEVIU

Aprofundamento

A vulnerabilidade CVE-2026-8037 no Progress Kemp LoadMaster é uma falha de execução remota de código (RCE) via Pre-Auth que permite a um atacante não autenticado obter controle total do appliance. O problema reside na função escape_quotes(), responsável por "escapar" caracteres de aspas em dados de entrada da API. Na versão vulnerável, esta função alocava memória não inicializada com malloc() e não adicionava um terminador nulo à string de saída. Isso permitia que a função sprintf(), usada posteriormente para construir comandos shell, lesse além dos limites do buffer, incorporando dados residuais da memória e, consequentemente, executando comandos arbitrários.

A exploração da falha funciona pulverizando a heap com um payload malicioso e, em seguida, manipulando o campo apiuser com aspas simples para sobrescrever metadados do alocador de memória. Esse processo elimina os "bytes lixo" que impediriam a leitura contínua, fazendo com que sprintf() lesse o payload injetado e permita a execução remota de código. Essa técnica transforma uma falha aparentemente inofensiva de inicialização de memória em uma oportunidade para execução de código com privilégios de root, reforçando a importância de validação rigorosa de entradas e manipulação segura de memória em dispositivos de borda de rede.

O que mudou

A correção da vulnerabilidade CVE-2026-8037 apresenta duas mudanças críticas na função escape_quotes(). Primeiro, a alocação de memória mudou de malloc() para calloc(), garantindo que o buffer de saída seja inicializado com zeros. Isso impede que dados residuais de memória sejam lidos fora dos limites. Segundo, um terminador nulo foi explicitamente adicionado ao final da string de saída, resolvendo o problema principal que permitia a leitura de dados além do buffer. Essas alterações, embora aparentemente pequenas, neutralizam completamente a exploração da falha de RCE.

Por que isso importa

Essa falha tem um impacto direto e grave em empresas que usam o Kemp LoadMaster, um balanceador de carga e Application Delivery Controller (ADC) comum em redes corporativas. ADCs ficam na borda da rede, ou seja, são um alvo preferencial para ataques. Uma RCE Pre-Auth significa que um atacante consegue executar código sem autenticação prévia, o que é o pior cenário. Explorar essa vulnerabilidade em um LoadMaster pode levar ao comprometimento total da infraestrutura de rede, da confidencialidade dos dados e até mesmo da interrupção de serviços, gerando perdas financeiras e de reputação. Atualizar o sistema é urgente para empresas que operam com as versões afetadas.

Linha do tempo

  1. Syed Ibrahim Ahmed (TrendAI Research) reporta a vulnerabilidade ao Progress Software.

  2. Progress publica um aviso de segurança para a falha CVE-2026-8037.

  3. Divulgação pública coordenada do aviso de segurança (ZDI-26-342) com a TrendAI Zero Day Initiative.

  4. Publicação da notícia sobre a falha e as atualizações de segurança para o Progress Kemp LoadMaster.

Perguntas frequentes

O que é Pre-Auth Remote Code Execution (RCE)?

Pre-Auth RCE é uma vulnerabilidade que permite a um atacante executar código malicioso em um sistema alvo sem precisar de nenhuma credencial de autenticação. Nesses casos, o atacante consegue explorar o sistema remotamente apenas acessando a máquina por meio da rede.

Como a inicialização inadequada da memória causou essa RCE?

A função vulnerável em questão alocava um buffer de memória sem limpá-lo, deixando dados residuais. Como a função também falhava em terminar corretamente a string, outras partes do software liam esses dados residuais além dos limites, interpretando-os como parte de um comando e permitindo a execução de arbítrio.

Quais são as versões afetadas do Progress Kemp LoadMaster?

As versões afetadas do Progress Kemp LoadMaster são GA v7.2.63.1 e anteriores, e LTSF v7.2.54.17 e anteriores. A vulnerabilidade só é explorável quando o recurso de API está ativo no dispositivo. É crucial que administradores verifiquem suas versões e atualizem imediatamente.

Como proteger os sistemas Progress Kemp LoadMaster dessa vulnerabilidade?

A proteção principal é a atualização do firmware para as versões GA v7.2.63.2 ou LTSF v7.2.54.18, que contêm a correção. Além disso, é uma boa prática monitorar rigorosamente os logs de acesso da API para detectar qualquer atividade suspeita ou não autorizada que possa indicar uma tentativa de exploração.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
01 de julho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser