「LoadMasterってロードバランサーが危ないって聞いたんでしゅ。うちのデータセンターにあるかもしれないんでしゅけど……」
「ログインもしないで乗っ取られるって、どういうことでしゅか?パスワードがあっても意味ないんでしゅか?」
ボスっ!Progress Kemp LoadMasterに認証なしでrootが取れる脆弱性が出たって聞いたんでしゅ。ロードバランサーが乗っ取られたらどうなるんでしゅか?
ロードバランサーはネットワークの入り口だ。そこを制御されれば、通過するトラフィック全体を傍受・改ざんできる。しかもAPI経由で認証なし・rootレベルの実行が可能という深刻な問題だな。
2026年6月、ネットワーク機器「Progress Kemp LoadMaster」にCVSS 9.8のPre-Auth RCE脆弱性(CVE-2026-8037)が発見され、悪用可能な完全なエクスプロイトチェーンが研究者により公開されました。
この脆弱性は認証なしにAPIを通じてrootコマンドを実行できるもので、インターネット公開されたLoadMasterが存在する場合は即時対応が必要です。
この記事では脆弱性の仕組みと対策を解説します。
- Progress Kemp LoadMasterにCVSS 9.8のPre-Auth RCE脆弱性CVE-2026-8037が発見され、完全なエクスプロイトが公開済み
- API経由で認証なしにrootレベルのコマンドが実行でき、ネットワーク機器の完全制御が可能
- 2026年6月4日にProgressがパッチを公開済みだが、未適用の機器が標的になるリスクが高い
LoadMasterはエンタープライズ向けのロードバランサー・ADC(Application Delivery Controller)として日本の大企業でも使用実績があります。
ネットワーク境界に配置される機器の侵害は、内部ネットワーク全体への侵入口になり得るため、対応を急ぐ必要があります。
目次
CVE-2026-8037でPre-Auth RCEが可能になる仕組み
WatchTowr Labsが公開した技術分析によると、CVE-2026-8037は未初期化メモリとAPI文字列処理の組み合わせによる脆弱性です。
「未初期化メモリ」ってどういうことでしゅか?むずかしくてよくわからないんでしゅ……
プログラムがメモリを使う前に初期化(ゼロで埋める等)しないと、前回の別のデータが残ったままになる。その残ったデータを攻撃者が巧みに操作すると、本来実行されないコードを走らせることができるんだ。
攻撃の流れと影響するバージョン
脆弱性の主な特徴と影響範囲をまとめます。
- LoadMasterのAPIを通じて、認証なしで任意のシェルコマンドをroot権限で実行できる
- GA(General Availability)バージョン v7.2.63.1以前が影響
- LTSF(Long Term Support Feature)バージョン v7.2.54.17以前が影響
- 同じ脆弱性はMOVEit WAF・ECS Connection Manager・Object Scale Connection Managerにも存在
Progress社が2026年6月4日にセキュリティ速報とパッチを公開しましたが、6月29日にWatchTowr Labsが完全なエクスプロイトチェーンの技術詳細を公開したことで、攻撃のハードルがさらに下がっています。
エクスプロイトコードが広く知られた今、パッチ未適用の機器が攻撃対象となるリスクは非常に高い状況です。
侵害された場合の深刻なリスク
ロードバランサーがroot権限で乗っ取られた場合の影響を整理します。
- 通過するHTTPS/HTTPトラフィック全体の傍受・改ざんが可能になる
- 内部ネットワークへの足がかりとして、横展開(ラテラルムーブメント)に使われる
- Webアプリケーションへのリクエストを操作し、バックエンドサーバーへの攻撃が可能になる
- TLS証明書や秘密鍵の窃取により、HTTPS通信の復号・なりすましが可能になる
まとめ:ネットワーク機器こそ優先パッチ管理を
ロードバランサーが乗っ取られたら、その後ろにある全部のサーバーが危険になるんでしゅね……怖すぎるでしゅ。
ふふふ、そのとおりだ。ネットワーク機器はサーバーよりも見落とされがちだが、すべてのトラフィックが通る「要所」だ。管理対象の棚卸しを定期的に行い、ファームウェアとパッチの更新を確実にやることが鉄則だな。
Progress Kemp LoadMaster CVE-2026-8037は、認証なしにrootコマンドを実行できるCVSS 9.8の深刻な脆弱性で、完全なエクスプロイトコードが公開されたことで即座の悪用リスクがある状態です。
GA v7.2.63.1以前またはLTSF v7.2.54.17以前を使用している場合は、2026年6月4日公開のパッチを今すぐ適用してください。
LoadMasterへのAPIアクセスをインターネットから遮断する設定変更も、パッチ適用と並行して進める必要があります。