Kemp LoadMaster espone RCE pre-auth come root, AWS corregge i controlli WAF su HTTP/2

🛡️ Executive Summary

• La vulnerabilità critica CVE-2026-8037 consente l’esecuzione di codice remoto come root sui dispositivi Kemp LoadMaster senza autenticazione.
• Il bug deriva da una gestione errata della memoria nella funzione escape_quotes, sfruttabile tramite heap spraying sull’endpoint REST /accessv2.
• Progress ha rilasciato le patch ufficiali, mentre AWS corregge due vulnerabilità nell’ispezione dei body HTTP/2 del proprio Web Application Firewall.

La sicurezza delle infrastrutture di frontiera torna sotto i riflettori con la pubblicazione della vulnerabilità CVE-2026-8037, una falla critica che interessa Kemp LoadMaster di Progress e permette l’esecuzione di codice remoto con privilegi di root senza alcuna autenticazione preventiva. La scoperta, analizzata dai ricercatori di watchTowr Labs, dimostra come un errore apparentemente banale nella gestione della memoria possa trasformarsi in una compromissione completa di un dispositivo che, nella maggior parte delle aziende, rappresenta il punto di ingresso del traffico applicativo. Parallelamente, AWS ha corretto due problematiche che interessano il proprio Web Application Firewall, legate alla gestione delle richieste HTTP/2 frammentate. Sebbene le due vulnerabilità abbiano natura differente, entrambe riguardano componenti fondamentali del perimetro di sicurezza aziendale e richiedono un intervento rapido da parte degli amministratori.

CVE-2026-8037: un errore di memoria diventa una RCE come root

La vulnerabilità interessa la funzione escape_quotes, utilizzata per sanitizzare le credenziali API prima della loro inclusione in un comando di sistema. Il codice alloca un buffer tramite malloc(), ma non lo inizializza e soprattutto non aggiunge il carattere NULL finale che delimita una stringa in linguaggio C. Questa omissione provoca una lettura oltre i limiti del buffer quando il contenuto viene successivamente elaborato da __sprintf_chk() per costruire il comando eseguito tramite system(). L’attaccante riesce così a far sì che il programma continui a leggere dati presenti nell’heap fino a incorporare un payload arbitrario nella stringa destinata alla shell. Il risultato finale è l’esecuzione di comandi con privilegi di root, senza che sia necessario autenticarsi sul dispositivo.

Come funziona l’exploit attraverso l’endpoint /accessv2

L’attacco sfrutta l’endpoint REST /accessv2, utilizzato per la validazione delle credenziali API. Una richiesta JSON opportunamente costruita contiene un valore apiuser formato da più apostrofi consecutivi, mentre numerosi campi aggiuntivi vengono impiegati per realizzare una tecnica di heap spraying. Ogni chiave supplementare alloca memoria contenente una porzione del payload che dovrà essere successivamente letta oltre il limite del buffer vulnerabile. L’espansione automatica delle virgolette produce sedici byte che alterano i metadati del chunk adiacente nell’heap, consentendo alla successiva chiamata a __sprintf_chk() di concatenare il contenuto controllato dall’attaccante al comando shell. Poiché tutto il processo avviene prima della verifica delle credenziali, la vulnerabilità è classificata come pre-authentication Remote Code Execution, una delle categorie di bug più critiche per i dispositivi esposti su Internet.

Un rischio elevato per load balancer e infrastrutture enterprise

L’impatto della vulnerabilità va ben oltre il singolo dispositivo compromesso. Kemp LoadMaster viene normalmente impiegato come Application Delivery Controller e load balancer, terminando connessioni TLS, distribuendo il traffico verso i server backend e gestendo applicazioni business critiche. Un accesso root permette di modificare le configurazioni di bilanciamento, intercettare il traffico cifrato, installare backdoor persistenti o utilizzare il dispositivo come punto di partenza per movimenti laterali verso la rete interna. Sebbene non risultino ancora campagne di sfruttamento attivo, la pubblicazione del proof of concept riduce drasticamente il tempo necessario agli attori malevoli per integrare la vulnerabilità nei propri toolkit automatizzati, aumentando l’urgenza delle attività di patching.

Patch disponibili e seconda vulnerabilità corretta da Progress

Le versioni vulnerabili comprendono tutte le release GA fino alla 7.2.63.1 e le versioni LTSF fino alla 7.2.54.17, quando l’API REST risulta abilitata. Progress ha corretto il problema nelle versioni 7.2.63.2 e 7.2.54.18, sostituendo malloc() con calloc(), che inizializza automaticamente il buffer, e aggiungendo esplicitamente il terminatore della stringa. Lo stesso aggiornamento corregge anche la CVE-2026-33691, una vulnerabilità che consentiva il bypass dei controlli del Web Application Firewall sui caricamenti di file mediante l’inserimento di spazi bianchi nel nome del file. Gli amministratori dovrebbero applicare immediatamente gli aggiornamenti, verificare se l’API REST debba realmente rimanere esposta e limitarne eventualmente l’accesso tramite firewall o reti di gestione dedicate.

AWS corregge due vulnerabilità nell’ispezione HTTP/2 del WAF

Nello stesso periodo AWS ha pubblicato il bollettino di sicurezza 2026-048, affrontando due problematiche che interessano il proprio Web Application Firewall. Le vulnerabilità CVE-2026-13762 e CVE-2026-13763 riguardano la gestione dei body delle richieste HTTP/2 suddivisi in più data frame. In particolari condizioni il WAF poteva analizzare soltanto una parte del contenuto della richiesta, riducendo l’efficacia delle regole di sicurezza contro payload malevoli. Per i deployment associati a CloudFront la correzione è stata applicata direttamente da AWS senza richiedere interventi dei clienti. Nei deployment basati su Application Load Balancer, invece, gli amministratori devono abilitare la nuova opzione che accumula tutti i frame HTTP/2 prima dell’ispezione, assicurando che il firewall analizzi l’intero corpo della richiesta.

Il perimetro resta il bersaglio principale degli attaccanti

Le vulnerabilità pubblicate confermano come load balancer, application delivery controller e Web Application Firewall continuino a rappresentare obiettivi privilegiati per gli attori malevoli. Negli ultimi anni Progress ha corretto numerose falle di command injection in LoadMaster, mentre il precedente incidente che coinvolse MOVEit ha dimostrato quanto rapidamente gli exploit contro prodotti esposti su Internet possano trasformarsi in campagne di compromissione su larga scala. Allo stesso tempo, l’evoluzione del protocollo HTTP/2 introduce nuove complessità nell’ispezione del traffico, imponendo ai produttori continui aggiornamenti delle logiche di analisi. Per le organizzazioni enterprise la priorità rimane quella di mantenere aggiornati i dispositivi di frontiera, limitare l’esposizione delle interfacce di gestione, monitorare gli accessi agli endpoint amministrativi e verificare periodicamente la configurazione dei componenti che proteggono il traffico applicativo. In un contesto in cui una singola vulnerabilità pre-autenticazione può compromettere l’intera infrastruttura, la rapidità nell’applicazione delle patch rappresenta ancora la misura di mitigazione più efficace.