安全专家发现了Progress Software的Flowmon网络性能监控工具中存在一个严重漏洞，该工具被全球 1,500 多家公司使用，其中包括世嘉、起亚和大众等大型组织。

该漏洞获得了 CVSS 等级的最高严重等级：10 分（满分 10 分）。它 是 由 Rhino Security Labs 的专家发现的，注册号为 CVE-2024-2389。

该漏洞允许攻击者使用特制的 API 请求在未经身份验证的情况下远程访问 Flowmon Web 界面并执行任意系统命令。

该程序的开发商 Progress Software 于 4 月 4 日首次报告了该问题，警告该错误影响了产品 v12.x 和 v11.x 的版本。专家建议客户将系统更新到最新版本v12.3.5和v11.1.14。

该安全更新已发布给所有 Flowmon 客户端。您可以自动或从开发人员的下载中心手动获取它。此后，该公司建议更新所有 Flowmon 模块。

Rhino 安全实验室发布了 该漏洞的技术细节 以及演示，展示了攻击者如何利用该问题注入 Web shell 并将权限提升至 root。研究人员能够通过操纵“pluginPath”或“file”参数来执行任意命令。

值得注意的是，大约两周前，意大利 CSIRT 专家已经警告称，该漏洞已经可用。根据公开信息，CVE-2024-2389 的当前 PoC 已于 4 月 10 日发布。

Internet 上可用的 Flowmon 服务器数量根据您选择的搜索引擎而有很大差异。根据 Fofa 搜索引擎的显示，网络上大约有 500 个 Flowmon 服务器，而 Shodan 和 Hunter 服务显示不到 100 个。

Progress Software 的最后一次安全公告更新是在 4 月 19 日。该公司向客户保证，目前没有 CVE-2024-2389 的活跃漏洞，但敦促他们尽快将系统更新到安全版本。