Κρίσιμο ελάττωμα WhatsUp Gold RCE: Ενημερωθείτε τώρα για το Exploit

Δημοσιεύτηκε ένα proof-of-concept (PoC) εκμετάλλευση για ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα κρίσιμης σοβαρότητας στο Progress WhatsUp Gold, καθιστώντας κρίσιμη την εγκατάσταση των πιο πρόσφατων ενημερώσεων ασφαλείας το συντομότερο δυνατό.

Το ελάττωμα παρακολουθείται ως CVE-2024-8785 (Βαθμολογία CVSS v3.1: 9,8) και ανακαλύφθηκε από την Tenable στα μέσα Αυγούστου 2024. Υπάρχει στη διαδικασία NmAPI.exe σε εκδόσεις WhatsUp Gold από το 2023.1.0 και πριν από τις 24.0.1.

Χειρισμός του μητρώου των Windows

Κατά την εκκίνηση, το NmAPI.exe παρέχει μια διεπαφή API διαχείρισης δικτύου για το WhatsUp Gold, ακρόαση και επεξεργασία εισερχόμενων αιτημάτων.

Λόγω της ανεπαρκούς επικύρωσης των εισερχόμενων δεδομένων, οι εισβολείς θα μπορούσαν να στείλουν ειδικά κατασκευασμένα αιτήματα για να τροποποιήσουν ή να αντικαταστήσουν ευαίσθητα κλειδιά μητρώου των Windows που ελέγχουν από πού διαβάζονται τα αρχεία διαμόρφωσης WhatsUp Gold.

“Ένας απομακρυσμένος εισβολέας χωρίς έλεγχο ταυτότητας μπορεί να επικαλεστεί τη λειτουργία UpdateFailoverRegistryValues ​​μέσω ενός netTcpBinding στη διεύθυνση net.tcp://:9643,” διαβάζει η εγγραφή του Tenable.

“Μέσω της λειτουργίας UpdateFailoverRegistryValues, ο εισβολέας μπορεί να αλλάξει μια υπάρχουσα τιμή μητρώου ή να δημιουργήσει μια νέα για οποιαδήποτε διαδρομή μητρώου στο HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\.”

“Συγκεκριμένα, ο εισβολέας μπορεί να αλλάξει το HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\Network Monitor\WhatsUp Gold\Setup\InstallDir σε μια διαδρομή UNC που δείχνει σε έναν κεντρικό υπολογιστή που ελέγχεται από τον εισβολέα (δηλαδή, \\\share\WhatsUp).”

Την επόμενη φορά που θα γίνει επανεκκίνηση της υπηρεσίας Ipswitch Service Control Manager, θα διαβάσει διάφορα αρχεία διαμόρφωσης από το κοινόχρηστο στοιχείο απομακρυσμένου ελεγχόμενου από εισβολέα, το οποίο μπορεί να χρησιμοποιηθεί για την εκκίνηση οποιουδήποτε απομακρυσμένου εκτελέσιμου αρχείου επιθυμεί ο εισβολέας στο ευάλωτο σύστημα WhatsUp Gold.

Εκτός από τους προφανείς κινδύνους που προκύπτουν από ένα τέτοιο σενάριο, η δυνατότητα τροποποίησης του μητρώου συστήματος παρέχει επίσης στην επίθεση εξαιρετικές δυνατότητες επιμονής, όπως η πραγματοποίηση αλλαγών στα κλειδιά εκκίνησης, ώστε ο κακόβουλος κώδικας να εκτελείται κατά την εκκίνηση του συστήματος.

Η εκμετάλλευση του CVE-2024-8785 δεν απαιτεί έλεγχο ταυτότητας και δεδομένου ότι η υπηρεσία NmAPI.exe είναι προσβάσιμη μέσω του δικτύου, ο κίνδυνος είναι σημαντικός.

Ενημερώστε το WhatsUp Gold τώρα

Οι διαχειριστές συστήματος που διαχειρίζονται τις αναπτύξεις του WhatsUp Gold θα πρέπει να αναβαθμίσουν στην έκδοση 24.0.1 το συντομότερο δυνατό.

Το Progress Software κυκλοφόρησε ενημερώσεις ασφαλείας που αντιμετωπίζουν το CVE-2024-8785 και πέντε ακόμη ελαττώματα στις 24 Σεπτεμβρίου 2024 και δημοσίευσε τις σχετικές δελτίο εδώπου περιέχει οδηγίες εγκατάστασης.

Το WhatsUp Gold βρέθηκε ξανά στο στόχαστρο χάκερ πρόσφατα, με τους παράγοντες απειλών να αξιοποιούν δημόσια διαθέσιμα exploit για να επιτεθούν σε ευάλωτα τελικά σημεία.

Στις αρχές Αυγούστου, οι φορείς απειλών χρησιμοποίησαν δημόσια PoC για ένα κρίσιμο ελάττωμα του WhatsUp Gold RCE για να αποκτήσουν αρχική πρόσβαση στα εταιρικά δίκτυα.

Τον Σεπτέμβριο, οι χάκερ χρησιμοποίησαν δημόσια εκμεταλλεύσεις για δύο κρίσιμα τρωτά σημεία SQL injection στο WhatsUp Gold, τα οποία τους επέτρεψαν να αναλάβουν λογαριασμούς διαχειριστή χωρίς να γνωρίζουν τον κωδικό πρόσβασης.

Δεδομένης της πρόσφατης ιστορίας των παραγόντων απειλών που εκμεταλλεύονται κρίσιμα τρωτά σημεία στη δημοφιλή λύση παρακολούθησης δικτύου της Progress Software, είναι επιτακτική ανάγκη να εφαρμοστούν έγκαιρα οι διαθέσιμες ενημερώσεις ασφαλείας.