🔍 Contexte

Le 29 juin 2026, watchTowr Labs publie une analyse technique approfondie de CVE-2026-8037, une vulnérabilité de type Remote Code Execution (RCE) pré-authentifiée affectant Progress Kemp LoadMaster, un équilibreur de charge et contrôleur de livraison d’applications (ADC) largement déployé en périphérie des réseaux d’entreprise.

🎯 Produits et versions affectés

La vulnérabilité affecte les versions suivantes lorsque l’API est activée :

  • Kemp LoadMaster GA v7.2.63.1 et antérieures
  • Kemp LoadMaster LTSF v7.2.54.17 et antérieures

Progress a publié un avis le 4 juin 2026 qualifiant la faille de « Command Injection Remote Code Execution Vulnerability ».

🧠 Analyse technique

La vulnérabilité réside dans la fonction escape_quotes() de l’exécutable access, invoquée lors du traitement des requêtes sur l’endpoint /accessv2.

Deux défauts dans la version vulnérable :

  • Allocation d’un buffer heap avec malloc() (non initialisé)
  • Absence de null-terminateur à la fin du buffer échappé

La fonction escape_quotes() est censée sécuriser les entrées utilisateur avant leur insertion dans une commande shell via system(). Si l’entrée ne contient pas de guillemet simple, le pointeur original est retourné sans modification. Si elle en contient, un nouveau buffer est alloué avec malloc() et chaque ' est expansé en ''' (4 octets).

Mécanisme d’exploitation :

  1. L’attaquant envoie '''' comme valeur apiuser → les 4 guillemets s’expansent en 16 octets, écrasant les métadonnées du chunk tcache adjacent (pointeurs next et key)
  2. Un payload d’injection de commande est sprayed dans des chunks heap adjacents via de nombreuses paires clé/valeur JSON supplémentaires
  3. Comme le buffer échappé n’est pas null-terminé, __sprintf_chk() continue de lire au-delà du buffer et intègre le payload injecté dans la commande exécutée par system()

Patch appliqué dans v7.2.63.2 :

  • malloc() remplacé par calloc() (buffer initialisé à zéro)
  • Ajout d’un null-terminateur explicite après les données échappées

💥 Impact

Exploitation sans authentification via l’API REST de LoadMaster. L’attaquant peut exécuter des commandes arbitraires sur l’appliance (démonstration avec cat /etc/passwd).

📄 Type d’article

Analyse technique publiée par watchTowr Labs, visant à documenter la chaîne d’exploitation complète d’une vulnérabilité divulguée publiquement, en comparant les versions vulnérable et patchée par diff binaire.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1203 — Exploitation for Client Execution (Execution)

IOC


🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ⬜ labs.watchtowr.com — source non référencée (0pts)
  • ✅ 18059 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ 0/1 IOCs confirmés externellement (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://labs.watchtowr.com/enterprise-tech-in-shell-out-progress-kemp-loadmaster-uninitialized-heap-to-pre-auth-rce-cve-2026-8037