Cybersecurity

CVE-2026-8037: kritieke pre-auth-RCE treft Progress Kemp LoadMaster (patch nu)

CVE-2026-8037 is een kritieke (CVSS 9.8) pre-auth-kwetsbaarheid voor remote code execution in Progress Kemp LoadMaster die aanvallers via één enkele API-aanvraag root-toegang geeft. Op 29 juni verscheen er een publieke exploit — hier lees je wie er getroffen worden en hoe je patcht.

Waqas Ahmed Waseer
Waqas Ahmed Waseer 1 jul 2026 7 min leestijd
CVE-2026-8037: kritieke pre-auth-RCE treft Progress Kemp LoadMaster (patch nu)

Een kritieke kwetsbaarheid in Progress Kemp LoadMaster, geregistreerd als CVE-2026-8037, stelt een niet-geauthenticeerde aanvaller in staat om als root commando's uit te voeren op de load balancer door één enkele geprepareerde aanvraag naar de API te sturen. De kwetsbaarheid heeft een CVSS-score van 9.8, treft elke LoadMaster-build tot en met de juni-patch en beschikt nu over een publieke proof-of-concept-exploit — het venster tussen "theoretisch" en "als een worm door netwerken" sluit dus snel. Draai je een LoadMaster met de API ingeschakeld, patch hem dan vandaag nog.

Dit is wat de bug inhoudt, welke versies blootstaan, hoe de exploit werkelijk werkt en wat je moet doen voordat iemand anders je appliance vindt.

Wat is CVE-2026-8037?

CVE-2026-8037 is een kwetsbaarheid voor remote code execution vóór authenticatie in de LoadMaster-beheer-API. Geen inloggegevens, geen sessie, geen gebruikersinteractie — een aanvaller die het API-endpoint van de appliance kan bereiken, kan willekeurige shell-commando's uitvoeren met root-rechten. Omdat LoadMaster een application delivery controller is die doorgaans aan de rand van het netwerk staat, TLS termineert en verkeer naar backend-servers stuurt, komt een root-shell erop dicht in de buurt van een worstcase-bruggenhoofd.

De kwetsbaarheid werd op 15 april 2026 gemeld aan de Zero Day Initiative van Trend Micro door onderzoeker Syed Ibrahim Ahmed, en ZDI publiceerde zijn gecoördineerde advisory op 9 juni. Progress had al op 4 juni een fix uitgebracht. De reden dat het nu nieuws is, is dat watchTowr Labs op 29 juni een volledige technische analyse publiceerde met een werkende proof of concept — waarmee een n-day die veel beheerders hadden genegeerd, veranderde in iets dat elke competente aanvaller nu kan reproduceren.

Welke LoadMaster-versies zijn getroffen?

De kwetsbaarheid treft beide release-kanalen, maar alleen wanneer de LoadMaster-API is ingeschakeld. Heb je op of na 4 juni gepatcht, dan ben je gedekt; heb je het apparaat sinds het voorjaar niet aangeraakt, dan sta je vrijwel zeker bloot.

KanaalGetroffen versiesGepatchte versieFix uitgebracht
GA (General Availability)v7.2.63.1 en eerderv7.2.63.24 juni 2026
LTSF (Long-Term Support Feature)v7.2.54.17 en eerderv7.2.54.184 juni 2026

De enige verzachtende voorwaarde is de API. De REST-API van LoadMaster staat niet in elke deployment standaard aan, en appliances met de API uitgeschakeld zijn via deze bug niet bereikbaar. Dat is de snelste manier om je blootstelling te controleren: staat de API aan en is hij vanaf internet bereikbaar, behandel het apparaat dan als gecompromitteerd-tot-gepatcht.

Hoe de exploit werkt

De bug zit in een hulpfunctie genaamd escape_quotes(), wiens enige taak is om gebruikersinvoer veilig te maken voordat die aan een shell-commando wordt doorgegeven. De functie hoort enkele aanhalingstekens te escapen zodat een aanvaller niet uit een tussen aanhalingstekens geplaatste tekenreeks kan breken en eigen commando's kan injecteren. In plaats daarvan introduceerde ze twee subtiele geheugenbugs die die bescherming samen tenietdoen.

Ten eerste alloceerde de functie haar uitvoerbuffer met malloc() in plaats van calloc(), waardoor het geheugen ongeïnitialiseerd terugkwam — vol met welke bytes daar ook eerder stonden, inclusief overgebleven heap-data. Ten tweede voegde ze, na het schrijven van de ge-escapete tekenreeks, nooit een null-terminator toe om te markeren waar de tekenreeks eindigt. Verderop blijft __sprintf_chk() voorbij het bedoelde einde van de buffer lezen, tot in het aangrenzende heap-geheugen.

Die over-read is de hele exploit. Het endpoint /accessv2 verwerkt een JSON-body met de velden apiuser en apipass. Een aanvaller stuurt vier enkele aanhalingstekens in apiuser, die uitdijen tot 16 ge-escapete bytes en allocator-metadata in naburige vrijgegeven chunks overschrijven, terwijl extra JSON-sleutel-waardeparen commando-payloads over de heap sproeien. Wanneer de niet-getermineerde buffer wordt gelezen, loopt hij regelrecht de gesproeide payload in, en het commando wordt uitgevoerd via de onderliggende system()-aanroep — als root. De fix van Progress is precies wat je zou verwachten: overschakelen naar calloc() voor genuld geheugen en de tekenreeks expliciet met een null afsluiten.

Wordt de kwetsbaarheid in het wild misbruikt?

Op 1 juli 2026 is er geen bevestigd misbruik in het wild en staat CVE-2026-8037 nog niet in CISA's catalogus van Known Exploited Vulnerabilities. Maar dat is een schrale troost. De kloof tussen een publieke PoC en massale scans wordt tegenwoordig routinematig in uren tot dagen gemeten, niet in weken — edge-appliances worden vrijwel meteen na het verschijnen van een analyse door internetbrede scanners gefingerprint. Een CVSS 9.8 pre-auth-root-RCE op een aan internet blootgestelde load balancer, met werkende exploitcode die al circuleert, is precies het profiel dat ransomware-affiliates en initial-access-brokers om het hardst proberen te bewapenen. Behandel "nog niet misbruikt" als "nog niet jouw beurt".

Wat je nu moet doen

De remediatie is weinig glamoureus en urgent:

  • Patch onmiddellijk naar GA v7.2.63.2 of LTSF v7.2.54.18 (of nieuwer). Dit is de enige echte fix.
  • Kun je niet meteen patchen, schakel dan de LoadMaster-API uit of beperk hem tot een vertrouwd beheernetwerk. De bug is onbereikbaar wanneer de API uit staat, en hij zou hoe dan ook nooit aan het publieke internet mogen blootstaan.
  • Ga uit van een inbreuk op elk apparaat dat ongepatcht en aan internet blootgesteld stond. Roteer de inloggegevens en TLS-sleutels die de appliance verwerkte, en speur naar onverwachte processen, cronjobs of configuratiewijzigingen — een root-shell betekent dat een aanvaller zich had kunnen nestelen voordat je patchte.
  • Segmenteer je beheervlak. Beheer-API's op edge-appliances horen achter een VPN of bastion, niet open voor de hele wereld. Dat is dezelfde les waar onze analyse van zero trust versus VPN telkens op terugkomt: vertrouw de netwerkrand nooit standaard.

Waarom edge-appliances telkens de zwakke plek blijven

CVE-2026-8037 is geen op zichzelf staande misser — het is de nieuwste vermelding in een patroon dat bedrijfsinbreuken al drie jaar bepaalt. Citrix NetScaler, Ivanti Connect Secure, Fortinet FortiOS, F5 BIG-IP: de apparaten die op de perimeter leven, maatwerk-C spreken en zelden opnieuw worden opgestart, zijn degene die aanvallers het hardst uitdiepen, omdat één fout pre-auth-root oplevert op precies het knelpunt waar al het verkeer doorheen stroomt. Load balancers en gateways zijn oeroude codebases in een modern webinterfacejasje, en geheugenbugs zoals deze ongeïnitialiseerde-heap-misser zijn endemisch in dat C-leidingwerk.

De defensieve les is niet "koop een ander apparaat". Ze is operationeel: inventariseer elk edge-apparaat en zijn firmwareversie, abonneer je op de beveiligingsfeed van de leverancier zodat je op dag nul van een fix hoort in plaats van op dag 25, houd beheerinterfaces buiten het publieke internet, en patch edge-apparatuur in een sneller tempo dan de rest van je vloot. De organisaties die zich brandden aan de npm-supplychaincrisis en aan elke NetScaler-golf daarvóór hadden dezelfde grondoorzaak — er bestond een patch en niemand paste hem op tijd toe. LoadMaster reikt je de patch drie weken vroeger aan. Benut de voorsprong.

Veelgestelde vragen

Wordt CVE-2026-8037 actief misbruikt?

Op 1 juli 2026 was er geen bevestigd misbruik in het wild gemeld, en de kwetsbaarheid staat nog niet in CISA's KEV-catalogus. Maar sinds 29 juni bestaat er een werkende publieke proof of concept, dus misbruikpogingen tegen blootgestelde, ongepatchte appliances moeten als imminent worden beschouwd.

Hoe weet ik of mijn LoadMaster kwetsbaar is?

Controleer je LMOS-versie en of de API is ingeschakeld. GA-builds v7.2.63.1 en eerder, en LTSF-builds v7.2.54.17 en eerder, zijn kwetsbaar wanneer de API aan staat. Staat de API uit, dan is deze specifieke bug niet bereikbaar.

Welke versie lost het op?

Progress bracht de fix uit op 4 juni 2026: werk bij naar GA v7.2.63.2 of LTSF v7.2.54.18 (of nieuwer). De patch vervangt de gebrekkige geheugenallocatie en voegt de ontbrekende null-terminator toe.

Wat kan een aanvaller ermee doen?

Willekeurige commando's als root uitvoeren op de load balancer zonder te authenticeren — volledige controle over een appliance die doorgaans TLS termineert en intern verkeer routeert. Dat maakt het een lanceerplatform om verkeer te onderscheppen, naar het interne netwerk te pivoteren en ransomware uit te rollen.

Kan ik mitigeren zonder te patchen?

Tijdelijk wel: schakel de LoadMaster-API uit of beperk hem tot een vertrouwd beheernetwerk zodat het kwetsbare endpoint /accessv2 niet bereikbaar is. Dit is een noodoplossing — pas de officiële patch zo snel mogelijk toe.

Bronnen

Waqas Ahmed Waseer

Waqas Ahmed Waseer

Waqas Ahmed Waseer is ontwikkelaar en automation-builder met meer dan 8 jaar ervaring in het bouwen van productiesystemen die door 100.000+ mensen worden gebruikt. Hij bouwt custom multi-tenant SaaS, AI-automatisering (n8n, LLM-workflows, WhatsApp-bots) en hostinginfrastructuur (WHM/cPanel, CloudLinux) — en is de maker van WaSphere, FlowMaticX en het hostingmerk WaseerHost. 100+ projecten opgeleverd voor mkb, bureaus en gefinancierde startups.

Gerelateerd

Meer in Cybersecurity

Bekijk alles

Discussie · 0

Wees vriendelijk. Reacties zijn openbaar.

    Nieuwsbrief · Maandageditie

    De maandagbriefing.

    Eén e-mail elke maandagochtend. De week vooruit in AI, startups, hosting en devtools — geen onzin, geen gesponsorde lokkertjes.

    Gratis. Met één klik uitschrijven.