В сети появился
для критической уязвимости в Progress WhatsUp Gold, которая позволяет добиться удаленного выполнения кода.
Проблема получила идентификатор (9,8 балла по шкале CVSS) и была обнаружена специалистами компании Tenable еще в середине августа 2024 года. Баг связан с процессом NmAPI.exe в WhatsUp Gold версий от 2023.1.0 до 24.0.1.
Как объясняют эксперты, при запуске NmAPI.exe предоставляет API-интерфейс сетевого управления для WhatsUp Gold, прослушивая и обрабатывая входящие запросы. Из-за недостаточной валидации входящих данных злоумышленники имеют возможность отправлять специально подготовленные запросы для изменения и перезаписи ключей реестра Windows, которые контролируют, откуда считываются файлы конфигурации WhatsUp Gold.
В результате при следующем перезапуске служба Ipswitch Service Control Manager считает с вредоносного удаленного ресурса файлы конфигурации, которые могут использоваться для запуска любого удаленного исполняемого файла на уязвимой системе.
Отдельно отмечается, что эксплуатация CVE-2024-8785 не требует аутентификации, а также риски повышаются из-за того, что служба NmAPI.exe доступна через сеть.
Исследователи рекомендуют администраторам как можно скорее обновить WhatsUp Gold до версии 24.0.1, которая уже содержит патч. Progress Software выпустила обновления, устраняющие CVE-2024-8785 и еще пять уязвимостей, 24 сентября 2024 года, и опубликовала соответствующий , содержащий инструкции по их установке.
Стоит отметить, что в этом году хакеры уже эксплуатировали проблемы в WhatsUp Gold для своих атак. Так, в начале августа они использовали публичные для критической RCE-уязвимости , которая позволяла получить первоначальный доступ к корпоративным сетям. А в сентябре хакеры использовали публично для двух критических SQL-инъекций ( и ) в WhatsUp Gold, что позволяло захватывать учетные записи администраторов, не зная паролей.
Проблема получила идентификатор (9,8 балла по шкале CVSS) и была обнаружена специалистами компании Tenable еще в середине августа 2024 года. Баг связан с процессом NmAPI.exe в WhatsUp Gold версий от 2023.1.0 до 24.0.1.
Как объясняют эксперты, при запуске NmAPI.exe предоставляет API-интерфейс сетевого управления для WhatsUp Gold, прослушивая и обрабатывая входящие запросы. Из-за недостаточной валидации входящих данных злоумышленники имеют возможность отправлять специально подготовленные запросы для изменения и перезаписи ключей реестра Windows, которые контролируют, откуда считываются файлы конфигурации WhatsUp Gold.
В результате при следующем перезапуске служба Ipswitch Service Control Manager считает с вредоносного удаленного ресурса файлы конфигурации, которые могут использоваться для запуска любого удаленного исполняемого файла на уязвимой системе.
Отдельно отмечается, что эксплуатация CVE-2024-8785 не требует аутентификации, а также риски повышаются из-за того, что служба NmAPI.exe доступна через сеть.
Исследователи рекомендуют администраторам как можно скорее обновить WhatsUp Gold до версии 24.0.1, которая уже содержит патч. Progress Software выпустила обновления, устраняющие CVE-2024-8785 и еще пять уязвимостей, 24 сентября 2024 года, и опубликовала соответствующий , содержащий инструкции по их установке.
Стоит отметить, что в этом году хакеры уже эксплуатировали проблемы в WhatsUp Gold для своих атак. Так, в начале августа они использовали публичные для критической RCE-уязвимости , которая позволяла получить первоначальный доступ к корпоративным сетям. А в сентябре хакеры использовали публично для двух критических SQL-инъекций ( и ) в WhatsUp Gold, что позволяло захватывать учетные записи администраторов, не зная паролей.
