Kanadalı siber güvenlik şirketi eSentire’in Tehdit Müdahale Birimi (TRU), yakın zamanda ifşa edilen kritik bir güvenlik açığı olan CVE-2026-8037 (CVSS puanı: 9.6) için aktif istismar girişimleri tespit ettiğini duyurdu. Bu açık, Progress Kemp LoadMaster ürününü etkileyen bir işletim sistemi komut enjeksiyonu zafiyeti olup, saldırganların savunmasız cihazlarda keyfi kod çalıştırmasına olanak tanıyor. İstismar faaliyetlerinin 29 Haziran 2026’da başladığı belirtildi.
Progress, geçtiğimiz ay başında yayınladığı güvenlik bildiriminde, bu açığın LoadMaster API’sindeki bir OS komut enjeksiyonu zafiyeti olduğunu ve kimliği doğrulanmamış bir saldırganın, temizlenmemiş girdiyi kullanarak LoadMaster cihazında keyfi komutlar çalıştırabileceğini açıkladı. watchTowr Labs tarafından yapılan analizde, zafiyetin yük dengeleyici uygulamasındaki “escape_quotes()” fonksiyonundan kaynaklandığı ve kullanıcı girdisinin hatalı işlenmesinden doğduğu belirtildi.
Fonksiyon, temizlenmiş dizeleri doğru şekilde null karakterle sonlandıramadığı için bitişik heap belleğe taşma okumasına yol açıyor. Saldırganlar bu kusuru kullanarak “/accessv2” uç noktasına özel hazırlanmış istekler gönderip heap belleği manipüle edebiliyor ve komut enjeksiyonu gerçekleştirebiliyor. Başarılı bir istismarın etkisi oldukça ciddi; kimliği doğrulanmamış bir saldırgan, geçerli kimlik bilgilerine sahip olmadan etkilenen cihazda keyfi komutlar çalıştırabiliyor.
Detaylar ve Etkileri
eSentire, gözlemlediği istismar girişimlerinin başarısız olduğunu ve bu nedenle herhangi bir sömürü sonrası faaliyet yaşanmadığını belirtti. Ancak, bir proof-of-concept (PoC) istismarının ve detaylı teknik bilgilerin mevcut olması, CVE-2026-8037’ye yönelik kötü niyetli faaliyetlerin yakın gelecekte artmasına neden olacak. Saldırı girişimleri 192.42.116.58, 192.42.116.105 ve 146.70.139.154 IP adreslerinden geliyor. Bu açık, CVE-2024-1212’den (CVSS 10.0) sonra aktif istismar gören ikinci Progress Kemp LoadMaster zafiyeti oldu.