В сети появился PoC-эксплоит для критической уязвимости в Progress WhatsUp Gold, которая позволяет добиться удаленного выполнения кода.
Проблема получила идентификатор CVE-2024-8785 (9,8 балла по шкале CVSS) и была обнаружена специалистами компании Tenable еще в середине августа 2024 года. Баг связан с процессом NmAPI.exe в WhatsUp Gold версий от 2023.1.0 до 24.0.1.
Как объясняют эксперты, при запуске NmAPI.exe предоставляет API-интерфейс сетевого управления для WhatsUp Gold, прослушивая и обрабатывая входящие запросы. Из-за недостаточной валидации входящих данных злоумышленники имеют возможность отправлять специально подготовленные запросы для изменения и перезаписи ключей реестра Windows, которые контролируют, откуда считываются файлы конфигурации WhatsUp Gold.
«Неаутентифицированный удаленный злоумышленник может вызвать UpdateFailoverRegistryValues через netTcpBinding по адресу net.tcp://<целевой-хост>:9643, — объясняют в Tenable. — С помощью UpdateFailoverRegistryValues атакующий может изменить существующее значение в реестре или создать новое для любого в разделе HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\. Так, злоумышленник может изменить HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\Network Monitor\WhatsUp Gold\Setup\InstallDir на UNC-путь, указывающий на хост, контролируемый им самим (то есть \\\<IP-атакующего>\share\WhatsUp)».
В результате при следующем перезапуске служба Ipswitch Service Control Manager считает с вредоносного удаленного ресурса файлы конфигурации, которые могут использоваться для запуска любого удаленного исполняемого файла на уязвимой системе.
Отдельно отмечается, что эксплуатация CVE-2024-8785 не требует аутентификации, а также риски повышаются из-за того, что служба NmAPI.exe доступна через сеть.
Исследователи рекомендуют администраторам как можно скорее обновить WhatsUp Gold до версии 24.0.1, которая уже содержит патч. Progress Software выпустила обновления, устраняющие CVE-2024-8785 и еще пять уязвимостей, 24 сентября 2024 года, и опубликовала соответствующий бюллетень безопасности, содержащий инструкции по их установке.
Стоит отметить, что в этом году хакеры уже эксплуатировали проблемы в WhatsUp Gold для своих атак. Так, в начале августа они использовали публичные PoC-эксплоиты для критической RCE-уязвимости CVE-2024-4885, которая позволяла получить первоначальный доступ к корпоративным сетям. А в сентябре хакеры использовали публично доступные эксплоиты для двух критических SQL-инъекций (CVE-2024-6670 и CVE-2024-6671) в WhatsUp Gold, что позволяло захватывать учетные записи администраторов, не зная паролей.
