Експерти з кібербезпеки виявили небезпечну вразливість у популярній системі мережевого моніторингу Progress WhatsUp Gold. Вразливість, якій присвоєно ідентифікатор CVE-2024-8785, отримала критичний рівень загрози 9,8 за шкалою CVSS. Особливу небезпеку становить можливість віддаленого виконання довільного коду без необхідності автентифікації.
Технічний аналіз вразливості
Вразливість присутня у версіях WhatsUp Gold від 2023.1.0 до 24.0.1 та пов’язана з компонентом NmAPI.exe. Ключовою проблемою є недостатня валідація вхідних даних в інтерфейсі мережевого управління, що створює можливість для маніпуляцій з системним реєстром Windows через спеціально сформовані запити.
Особливості експлуатації вразливості
Механізм атаки базується на використанні функції UpdateFailoverRegistryValues через протокол netTcpBinding на порту 9643. Зловмисники можуть модифікувати записи в розділі реєстру HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\, що дозволяє перенаправити завантаження конфігураційних файлів на підконтрольний ресурс. При наступному запуску служби Ipswitch Service Control Manager відбувається виконання шкідливого коду.
Хронологія вразливостей та наслідки
Протягом 2024 року продукт WhatsUp Gold неодноразово ставав мішенню кіберзлочинців. Зафіксовано серію атак з використанням вразливостей CVE-2024-4885, CVE-2024-6670 та CVE-2024-6671, які призвели до компрометації корпоративних мереж та захоплення адміністративних облікових записів.
Progress Software випустила оновлення безпеки 24 вересня 2024 року, яке усуває CVE-2024-8785 та п’ять інших вразливостей. Враховуючи критичність загрози та наявність публічного PoC-експлойта, адміністраторам систем наполегливо рекомендується терміново оновити WhatsUp Gold до версії 24.0.1. Зволікання з встановленням патчів може призвести до серйозних порушень безпеки корпоративної інфраструктури та потенційних фінансових втрат.
