İlerleme WhatsUp Gold RCE Güvenlik Açığı

   Aralık 4, 2024  Posted in GBHackers


WhatsUp Gold ağ izleme yazılımının bir parçası olan NmAPI.exe’de, kayıt defterinin üzerine yazılan uzaktan kod yürütme (RCE) güvenlik açığı belirlendi.

24.0.1’den önceki sürümlerde bulunan bu güvenlik açığı, kimliği doğrulanmamış uzaktaki bir saldırganın etkilenen sistemlerde rastgele kod çalıştırmasına olanak tanıyarak önemli güvenlik riskleri oluşturur.

Güvenlik Açığı Ayrıntıları

Güvenlik açığı, WhatsUp Gold tarafından kullanılan bir Windows Communication Foundation (WCF) uygulaması olan NmAPI.exe’de bulunuyor.

– Reklamcılık –
Hizmet Olarak SIEMHizmet Olarak SIEM

Kusur özellikle UpdateFailoverRegistryValues ​​işleminde bulunur.

Bu işlev, Windows kayıt defteriyle etkileşime girerek bir saldırganın kimlik doğrulaması olmadan kayıt defteri girdilerini yazmasına veya değiştirmesine olanak tanır.

KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın

İşlem, net.tcp:// uç noktasındaki bir netTcpBinding aracılığıyla kullanılabilir.:9643. Saldırganlar bu yöntemi kullanarak HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\ altındaki kayıt defteri değerlerini değiştirebilir.

Bu güvenlik açığının önemli bir yönü, InstallDir kayıt defteri girişini, bir saldırgan tarafından kontrol edilen \\ gibi bir Evrensel Adlandırma Kuralı (UNC) yoluna işaret edecek şekilde değiştirme yeteneğidir.\share\WhatsUp.

Yararlanma Mekanizması

Saldırgan, InstallDir’i saldırganın kontrolündeki bir ağ paylaşımına yönlendirmek için kayıt defterini değiştirdiğinde, daha fazla yararlanma için ortam hazırlanır.

Ipswitch Hizmet Kontrol Yöneticisi (ServiceControlManager.exe) hizmeti yeniden başlatıldığında (muhtemelen sistemin yeniden başlatılması veya Windows güncellemesiyle tetiklenir), belirtilen UNC yolundan çeşitli bildirim dosyalarını okumaya çalışır.

Bu eylem, saldırganın yürütülecek yeni işlemleri tanımlamasını sağlar. WhatsUpPlatform-PluginManifest.xml dosyasındaki öğe. Örneğin saldırgan şunları belirtebilir:

Bu yapılandırma, saldırgan tarafından kontrol edilen kötü amaçlı bir yürütülebilir dosyanın (evil.exe) otomatik olarak yürütülmesine neden olur.

Tenable raporuna göre, bir Konsept Kanıtı (PoC) istismarının yayınlanması, WhatsUp Gold’un etkilenen sürümlerini kullanan kuruluşların 24.0.1 veya daha yeni bir sürüme yükseltme aciliyetinin altını çiziyor.

Bu güvenlik açığının yamalanmaması, sistemler üzerinde yetkisiz erişime ve kontrole yol açabilir; bu da ağ izleme ortamlarının güvenliğini sağlamada acil eylemin önemini vurgular.

Siber güvenlik uzmanları, yazılım güncellemesinin yanı sıra ağ düzeyinde azaltımların da uygulanmasını tavsiye ediyor. Buna, TCP bağlantı noktası 9643’e erişimin güvenilen ana bilgisayarlarla sınırlandırılması ve şüpheli kayıt defteri değişikliklerinin sürekli olarak izlenmesi de dahildir.

Her zaman olduğu gibi, güncel yedeklemelerin sürdürülmesi ve kapsamlı izinsiz giriş tespit sistemlerinin uygulanması, sağlam bir güvenlik duruşunun temel bileşenleridir.

Analyse Advanced Malware & Phishing Analysis With ANY.RUN Black Friday Deals : Get up to 3 Free Licenses.



Source link