Специалисты по кибербезопасности обнаружили критическую уязвимость в системе мониторинга Progress WhatsUp Gold, которая получила идентификатор CVE-2024-8785 и максимальную оценку опасности 9,8 баллов по шкале CVSS. Данная брешь позволяет злоумышленникам осуществлять удаленное выполнение произвольного кода на уязвимых системах без необходимости аутентификации.
Технические детали уязвимости
Уязвимость затрагивает версии WhatsUp Gold от 2023.1.0 до 24.0.1 и связана с компонентом NmAPI.exe, который предоставляет интерфейс сетевого управления. Основная проблема заключается в недостаточной валидации входящих данных, что позволяет атакующим манипулировать ключами реестра Windows через специально сформированные запросы.
Механизм эксплуатации
Атака реализуется через вызов функции UpdateFailoverRegistryValues по протоколу netTcpBinding на порту 9643. Злоумышленник может модифицировать или создавать новые значения в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\, что позволяет перенаправить загрузку конфигурационных файлов на контролируемый атакующим ресурс. При следующем запуске служба Ipswitch Service Control Manager загрузит вредоносную конфигурацию, что приведет к выполнению произвольного кода.
История уязвимостей WhatsUp Gold
В течение 2024 года продукт WhatsUp Gold уже становился мишенью киберпреступников. Были зафиксированы атаки с использованием уязвимостей CVE-2024-4885, CVE-2024-6670 и CVE-2024-6671, которые позволяли получать несанкционированный доступ к корпоративным сетям и захватывать административные учетные записи.
Рекомендации по защите
Progress Software выпустила патч для устранения CVE-2024-8785 и пяти других уязвимостей 24 сентября 2024 года. Администраторам настоятельно рекомендуется незамедлительно обновить WhatsUp Gold до версии 24.0.1, которая содержит все необходимые исправления. Учитывая критичность уязвимости и наличие публичного PoC-эксплоита, промедление с установкой обновлений может привести к серьезным последствиям для безопасности корпоративной инфраструктуры.
