Опубликован эксплоит для RCE-уязвимости в Progress WhatsUp Gold

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
30.059
Репутация
11.800
Реакции
62.398
RUB
50
В сети появился для критической уязвимости в Progress WhatsUp Gold, которая позволяет добиться удаленного выполнения кода.

Проблема получила идентификатор (9,8 балла по шкале CVSS) и была обнаружена специалистами компании Tenable еще в середине августа 2024 года. Баг связан с процессом NmAPI.exe в WhatsUp Gold версий от 2023.1.0 до 24.0.1.

i


Как объясняют эксперты, при запуске NmAPI.exe предоставляет API-интерфейс сетевого управления для WhatsUp Gold, прослушивая и обрабатывая входящие запросы. Из-за недостаточной валидации входящих данных злоумышленники имеют возможность отправлять специально подготовленные запросы для изменения и перезаписи ключей реестра Windows, которые контролируют, откуда считываются файлы конфигурации WhatsUp Gold.

«Неаутентифицированный удаленный злоумышленник может вызвать UpdateFailoverRegistryValues через netTcpBinding по адресу net.tcp://<целевой-хост>:9643, — объясняют в Tenable. — С помощью UpdateFailoverRegistryValues атакующий может изменить существующее значение в реестре или создать новое для любого в разделе HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\. Так, злоумышленник может изменить HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\Network Monitor\WhatsUp Gold\Setup\InstallDir на UNC-путь, указывающий на хост, контролируемый им самим (то есть \\\<IP-атакующего>\share\WhatsUp)».

В результате при следующем перезапуске служба Ipswitch Service Control Manager считает с вредоносного удаленного ресурса файлы конфигурации, которые могут использоваться для запуска любого удаленного исполняемого файла на уязвимой системе.

Отдельно отмечается, что эксплуатация CVE-2024-8785 не требует аутентификации, а также риски повышаются из-за того, что служба NmAPI.exe доступна через сеть.

Исследователи рекомендуют администраторам как можно скорее обновить WhatsUp Gold до версии 24.0.1, которая уже содержит патч. Progress Software выпустила обновления, устраняющие CVE-2024-8785 и еще пять уязвимостей, 24 сентября 2024 года, и опубликовала соответствующий , содержащий инструкции по их установке.

Стоит отметить, что в этом году хакеры уже эксплуатировали проблемы в WhatsUp Gold для своих атак. Так, в начале августа они использовали публичные для критической RCE-уязвимости , которая позволяла получить первоначальный доступ к корпоративным сетям. А в сентябре хакеры использовали публично для двух критических SQL-инъекций ( и ) в WhatsUp Gold, что позволяло захватывать учетные записи администраторов, не зная паролей.


 
  • Теги
    whatsup gold взлом whatup
  • Назад
    Сверху Снизу