Um exploit de prova de conceito (Proof-of-Concept - PoC) para uma falha de execução remota de código de gravidade crítica no Progress WhatsUp Gold foi publicado, tornando crítica a instalação das últimas atualizações de segurança o mais rápido possível.
A falha é rastreada como CVE-2024-8785 (pontuação CVSS v3.1: 9.8) e foi descoberta pela Tenable em meados de agosto de 2024.
Ela existe no processo NmAPI.exe em versões do WhatsUp Gold de 2023.1.0 até antes do 24.0.1.
Quando iniciado, o NmAPI.exe fornece uma interface de API de gerenciamento de rede para o WhatsUp Gold, ouvindo e processando solicitações recebidas.
Devido à validação insuficiente dos dados de entrada, os atacantes poderiam enviar solicitações especialmente criadas para modificar ou sobrescrever chaves sensíveis do registro do Windows que controlam de onde os arquivos de configuração do WhatsUp Gold são lidos.
"Um atacante remoto não autenticado pode invocar a operação UpdateFailoverRegistryValues via netTcpBinding em net.tcp://<host-alvo>:9643," diz o relatório da Tenable.
"Por meio da operação UpdateFailoverRegistryValues, o atacante pode mudar um valor de registro existente ou criar um novo para qualquer caminho de registro em HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\."
"Especificamente, o atacante pode alterar HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\Network Monitor\WhatsUp Gold\Setup\InstallDir para um caminho UNC apontando para um host controlado pelo atacante (ou seja, \\<ip-do-atacante>\share\WhatsUp)."
A próxima vez que o serviço Ipswitch Service Control Manager for reiniciado, ele lerá vários arquivos de configuração do compartilhamento remoto controlado pelo atacante, o que pode ser usado para iniciar qualquer executável remoto que o atacante deseje no sistema WhatsUp Gold vulnerável.
Além dos riscos óbvios que surgem de tal cenário, a capacidade de modificar o registro do sistema também confere ao ataque excelentes capacidades de persistência, como fazer alterações nas chaves de inicialização para que o código malicioso seja executado na inicialização do sistema.
A exploração do CVE-2024-8785 não requer autenticação e, uma vez que o serviço NmAPI.exe é acessível pela rede, o risco é significante.
Administradores de sistema que gerenciam implantações do WhatsUp Gold devem atualizar para a versão 24.0.1 o mais rápido possível.
A Progress Software lançou atualizações de segurança que abordam o CVE-2024-8785 e mais cinco falhas em 24 de setembro de 2024, e publicou o boletim relacionado aqui, contendo instruções de instalação.
O WhatsUp Gold tem sido alvo de hackers novamente recentemente, com os atores de ameaças aproveitando exploits disponíveis publicamente para atacar endpoints vulneráveis.
No início de agosto, atores de ameaça usaram PoCs públicos para uma falha crítica de RCE do WhatsUp Gold para ganhar acesso inicial às redes corporativas.
Em setembro, hackers usaram exploits públicos para duas vulnerabilidades críticas de injeção SQL no WhatsUp Gold, que permitiram que eles tomassem conta de contas de administrador sem conhecer a senha.
Dado o histórico recente de atores de ameaças explorando vulnerabilidades críticas na popular solução de monitoramento de rede da Progress Software, é imperativo aplicar as atualizações de segurança disponíveis prontamente.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...