Kemp LoadMaster: RCE autenticata in addcountry, CVSS 8.8

Kemp LoadMaster: RCE autenticata in addcountry, CVSS 8.8

Il 21 maggio 2026 l'Zero Day Initiative ha pubblicato l'advisory ZDI-26-319: una vulnerabilità di command injection in Progress Software Kemp LoadMaster che consente esecuzione di codice arbitrario remoto a un attaccante già autenticato. Il difetto risiede nel parametro customLocation del comando API addcountry, dove l'assenza di validazione dell'input utente prima della chiamata di sistema permette di concatenare comandi del sistema operativo sottostante. Progress Software ha rilasciato una correzione, ma la posizione strategica di questo Application Delivery Controller nel perimetro di rete rende il rischio superiore alla somma delle sue parti tecniche.

Come funziona l'attacco: la catena dalla geolocalizzazione al controllo dell'appliance

Il comando addcountry serve ad aggiungere località geografiche personalizzate per il routing del traffico, una funzione tipica degli ADC per bilanciamento globale. Secondo l'advisory ZDI, "la specifica vulnerabilità esiste nella gestione del parametro customLocation. Il problema deriva dalla mancanza di validazione appropriata di una stringa fornita dall'utente prima di utilizzarla per eseguire una chiamata di sistema".

Il CVE Record aggiunge precisione: si tratta di "unsanitized input in the addcountry command", eseguibile da "an authenticated attacker with 'Geo Administration' permissions". La concatenazione di questi due elementi — input non sanificato e permessi geografici — crea una superficie d'attacco inaspettata: un'amministratore di geolocalizzazione, ruolo spesso considerato secondario, può elevarsi al controllo completo dell'appliance.

La discrepanza tra i vettori CVSS merita attenzione. ZDI assegna AV:N (Attack Vector: Network), il che implica raggiungibilità da qualsiasi punto della rete. Il CVE Record riporta AV:A (Attack Vector: Adjacent Network), PR:H (Privileges Required: High) e S:C (Scope Changed), una combinazione che restringe lo scenario di minaccia ma amplifica l'impatto in caso di successo. Il motivo di questa divergenza non è documentato; potrebbe riflettere un ricalcolo successivo o interpretazioni diverse della topologia di rete tipica dei deployment LoadMaster.

"This vulnerability allows remote attackers to execute arbitrary code on affected installations of Progress Software Kemp LoadMaster. Authentication is required to exploit this vulnerability." — Advisory ZDI-26-319

Perché i load balancer sono la "blind spot" del perimetro

Gli Application Delivery Controller come Kemp LoadMaster occupano una posizione architetturale singolare: vedono tutto il traffico, terminano connessioni SSL, instradano richieste verso i backend, spesso gestiscono certificati e policy di sicurezza. Compromettere un ADC non significa semplicemente violare un server: significa acquisire la capacità di intercettare, modificare o deviare il flusso di dati dell'intera applicazione.

Questa centralità contrasta con la percezione operativa. I team di sicurezza tendono a concentrarsi su endpoint, workload cloud e identità utente, mentre le appliance di rete — specialmente se legacy o acquisite tramite fusioni aziendali — ricevono patch meno frequentemente e auditing più superficiale. Il caso di CVE-2026-3517 esemplifica il rischio: un ruolo amministrativo "Geo Administration", probabilmente assegnato a personale operations o networking, diventa veicolo di compromissione totale.

La timeline conferma la latenza strutturale della correzione: la vulnerabilità è stata segnalata a Progress il 23 febbraio 2026, ma la disclosure coordinata è avvenuta solo il 21 maggio 2026, una finestra di circa 88 giorni. Questo intervallo, pur rientrando nelle pratiche standard di responsible disclosure, lascia spazio a domande sulla velocità di risposta per un prodotto infrastrutturale.

La patch e i limiti della documentazione Progress

Le release notes di LoadMaster 7.2.63.1 documentano la correzione con formulazione tecnica ma non esplicitano il collegamento con ZDI-26-319 o CVE-2026-3517: "Fixed an issue that allowed an authenticated user to inject arbitrary OS commands through the API. (LM-8727)". La corrispondenza tra LM-8727 e l'advisory ZDI è inferita dalla coerenza descrittiva, non confermata testualmente da Progress.

Questa opacità è significativa per le organizzazioni che gestiscono inventari di vulnerabilità. Senza un cross-reference CVE nei documenti ufficiali del vendor, i sistemi di vulnerability management potrebbero non associare automaticamente la patch alla minaccia nota. Le versioni specifiche interessate non sono elencate nelle fonti disponibili, rendendo impossibile determinare se la 7.2.63.1 sia un aggiornamento cumulativo o specifico per questo difetto.

Il CVE Record aggiunge un elemento di granularità mancante nell'advisory ZDI: la specifica dei permessi "Geo Administration". Questo dettaglio è rilevante per la modellazione delle minacce interne — insider threat o account compromessi — più che per gli attaccanti esterni anonimi. La distinzione ha conseguenze operative: la mitigazione passa non solo dalla patch ma dalla revisione delle assegnazioni di ruolo, un aspetto che le fonti non trattano.

Cosa fare adesso

• Verificare la versione installata di Kemp LoadMaster e confrontarla con la 7.2.63.1: le release notes Progress documentano il fix di command injection autenticata via API (LM-8727)
• Auditare gli account con permessi "Geo Administration" secondo il principio del minimo privilegio, dato che il CVE Record identifica questo ruolo come prerequisito per l'exploitation
• Correlare le installazioni LoadMaster con il CVE-2026-3517 nei sistemi di vulnerability management, considerando che la documentazione Progress non cita esplicitamente l'identificatore CVE
• Monitorare i log di accesso API per chiamate al comando addcountry con parametri customLocation anomali, data la natura documentata del vettore d'attacco

Quando il perimetro diventa il problema

La scoperta di CVE-2026-3517 rientra in un pattern più ampio: le appliance di infrastruttura di rete, acquistate per la loro affidabilità e longevità, accumulano debito tecnico di sicurezza invisibile fino alla disclosure. Il caso Kemp LoadMaster mostra come anche una vulnerabilità "autenticata" — apparentemente meno urgente di una zero-day remota anonima — possa tradursi in compromissione sistemica data la posizione dell'obiettivo.

La discrepanza tra i due punteggi CVSS, 8.8 e 8.4, non è una contraddizione da risolvere ma un'indicazione di incertezza valutativa che le organizzazioni devono internalizzare. Entrambi i numeri dicono "alto rischio"; nessuna fonte dice "remoto e anonimo". Il lavoro di threat modeling spetta a chi gestisce l'infrastruttura, non a chi assegna i punteggi. Nel frattempo, l'assenza di evidenze di exploitation in-the-wild non è garanzia di sicurezza: la pubblicazione dell'advisory ZDI espone il vettore d'attacco a reverse engineering, e la posizione strategica di LoadMaster ne fa un obiettivo attraente.

Fonti

• http://www.zerodayinitiative.com/advisories/ZDI-26-319/
• https://www.cve.org/CVERecord?id=CVE-2026-3517
• https://www.zerodayinitiative.com/advisories/
• http://nvd.nist.gov/cvss.cfm?calculator&version=3.0&vector=AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
• https://www.progress.com/
• https://docs.progress.com/bundle/release-notes_loadmaster-7-2-63-1/page/Security-Updates.html

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti