Remote Code Execution в Loadbalancer.org Enterprise VA MAX 8.3.2 | Немезида ВАФ

В системе балансировки нагрузки Loadbalancer Enterprise VA MAX обнаружена уязвимость, позволяющая удаленно выполнять произвольный код.

Loadbalancer.org Enterprice VA MAX — система виртуализированной балансировки нагрузки на сервер. При установке между брандмауэром и веб-сервером, все веб-запросы будут обрабатываться балансировщиком нагрузки и отправляться на отдельные веб-серверы на основе выбранного алгоритма планирования. Балансировка нагрузки сервера обрабатывается для любого протокола TCP или UDP. Имеет встроенный WAF, защиту от SQL-инъекций и выполнения сценариев Cross Site (XSS).

Уязвимость содержится в коде, срабатываемом при просмотре «Пользовательский журнал Apache». Встроить пользовательский код JavaScript можно 2 способами:

  1. Во время аутентификации в / lbadmin /. Приложение принимает входные данные от Basic Auth (имя пользователя) и сохраняет его без кодирования / фильтрации в «Журнале ошибок Apache».
  2. Добавление пользовательского кода JavaScript, обратившись к URL как /? .  Такой JavaScript хранится в «Журнале пользователя Apache».

Таким образом, злоумышленник может сохранить код JavaScript, который может, например, выполнить системную команду от пользователя root. При просмотре «Журнала ошибок Apache» или «Пользовательского журнала Apache», пользовательский код JavaScript автоматически запускается. Источник: www.exploit-db.com/exploits/45758/.