Load balancery Progress Kemp LoadMaster pod útokem: kritická zranitelnost se zneužívá od 29. června
Kanadská bezpečnostní společnost eSentire varovala před aktivním zneužíváním kritické zranitelnosti CVE-2026-8037 v produktu Progress Kemp LoadMaster. Jde o load balancer – zařízení, které rozděluje síťový provoz mezi servery a často stojí přímo na hraně firemní infrastruktury, vystavené do internetu. Právě taková pozice z něj dělá atraktivní cíl: kdo ovládne load balancer, získává výhodný bod pro odposlech provozu i další pohyb po síti.
Zranitelnost s hodnocením CVSS 9,6 spočívá v injektáži příkazů operačního systému v API rozhraní LoadMasteru. Neautentizovaný útočník s přístupem k API může kvůli nedostatečnému ošetření vstupů spouštět na zařízení libovolné příkazy. Výrobce Progress zranitelnost popsal v bezpečnostním upozornění vydaném na začátku června 2026 a současně vydal opravu.
Detailní technický rozbor zveřejnila 29. června výzkumná skupina watchTowr Labs. Podle ní problém vězí ve funkci escape_quotes() uvnitř aplikace load balanceru, která má ošetřovat uvozovky ve vstupech, ale svou práci neodvádí spolehlivě. Publikace rozboru měla rychlou dohru: tým Threat Response Unit společnosti eSentire zaznamenal první pokusy o zneužití již téhož dne, tedy 29. června 2026. Scénář, kdy se útočníci chopí veřejně popsané zranitelnosti během hodin od publikace technických detailů, se opakuje stále častěji – obránci už nemají k dispozici týdny, ale dny až hodiny.
Produkty Kemp LoadMaster se používají v tisících organizací po celém světě, od středních firem po datová centra, typicky pro vyvažování zátěže webových aplikací, poštovních serverů Exchange nebo virtuálních desktopů. V řadě nasazení je administrační rozhraní včetně API dostupné z vnitřní sítě, existují ale i instalace vystavené přímo do internetu – a ty jsou nyní v bezprostředním ohrožení, protože útok nevyžaduje žádné přihlašovací údaje.

Doporučený postup je přímočarý: neprodleně nasadit opravu vydanou výrobcem v rámci červnového bezpečnostního upozornění. Kde okamžitá aktualizace není možná, je nutné alespoň omezit přístup k administračnímu rozhraní a API pouze na důvěryhodné interní adresy a vyřadit jakoukoli přímou dostupnost z internetu. Vzhledem k tomu, že pokusy o zneužití běží minimálně od 29. června, měly by organizace provozující LoadMaster také zkontrolovat logy zařízení – zaměřit se na neobvyklá volání API a známky spouštění příkazů – a v případě podezření přistupovat k zařízení jako k potenciálně kompromitovanému.
Případ zapadá do širšího trendu letošního roku: síťové prvky na perimetru, ať už jde o firewally, VPN brány nebo load balancery, patří k nejčastěji napadaným cílům. Zařízení, jejichž úkolem je síť chránit a zpřístupňovat, se při zanedbané správě mění v nejslabší článek. Pravidelná aktualizace firmwaru a důsledné oddělení správních rozhraní od internetu patří k opatřením s nejlepším poměrem nákladů a přínosu, jaká může organizace udělat.
Zdroj
Další články

Česká stopa v Operaci Endgame: výzkumníci ESETu pomohli rozbít malwarové sítě Amadey a Stealc

Phantom squatting: útočníci registrují domény, které si AI modely vymyslely

