Tehdit aktörleri, kurumsal ağlara ilk erişim için açık sunucularda yakın zamanda düzeltilen Progress WhatsUp Gold uzaktan kod yürütme güvenlik açığını aktif olarak istismar etmeye çalışıyor.
Bu saldırılarda kullanılan güvenlik açığı, Progress WhatsUp Gold 23.1.2 ve daha eski sürümleri etkileyen, kritik öneme sahip (CVSS v3 puanı: 9,8) kimliği doğrulanmamış uzaktan kod yürütme hatası olan CVE-2024-4885’tir.
CVE-2024-4885 için kamuya açık kanıt (PoC) istismarları, açığa çıkan WhatsUp Gold ‘/NmAPI/RecurringReport’ uç noktalarını hedef alıyor.
Tehdit izleme kuruluşu Shadowserver Foundation, saldırıların 1 Ağustos 2024’te başladığını ve altı farklı IP adresinden geldiğini bildirdi.
CVE-2024-4885 RCE
Progress WhatsUp Gold, sunucuların ve üzerlerinde çalışan servislerin çalışma süresini ve kullanılabilirliğini izlemenize olanak tanıyan bir ağ izleme uygulamasıdır. Ancak, herhangi bir yazılımda olduğu gibi, yalnızca dahili olarak, bir VPN aracılığıyla veya güvenilir IP adresleri aracılığıyla erişilebilir olmalıdır.
25 Haziran 2024’te Progress, 9.8 puanlı kritik bir RCE açığı olan CVE-2024-4885 dahil olmak üzere on beş yüksek ve kritik öneme sahip hata hakkında bir güvenlik bülteni uyarısı yayınladı. Progress, kullanıcıları güvenlik açıklarını gidermek için en son sürüm olan 23.1.3’e yükseltmeye çağırdı.
CVE-2024-4885, kimliği doğrulanmamış saldırganların ‘iisapppool\\nmconsole’ kullanıcısının ayrıcalıklarıyla komutları yürütmesine olanak tanıyan ‘WhatsUp.ExportUtilities.Export.GetFileWithoutZip’ işlevindeki bir uzaktan kod yürütme hatasıdır.
Bu bir yönetici kullanıcısı değildir ancak yine de WhatsUp Gold bağlamında yükseltilmiş izinlere sahiptir. Sunucuda kod çalıştırabilir ve hatta altta yatan sisteme erişebilir.
Satıcının 23.1.3 sürümüne yükseltme yapamayanlara önerileri, ‘/NmAPI/RecurringReport’ uç noktasındaki istismar girişimlerini izlemek ve erişimi yalnızca 9642 ve 9643 portlarındaki güvenilir IP adresleriyle sınırlamak için güvenlik duvarı kuralları uygulamaktı.
Güvenlik açığı, blogunda kavram kanıtı açığı da içeren ayrıntılı bir teknik yazı yayınlayan güvenlik araştırmacısı Sina Kheirkhah tarafından keşfedildi.
Bu istismar, özel olarak hazırlanmış bir yapılandırma içeren açık bir WhatsUp Gold raporlama uç noktasına bir ‘TestRecurringReport’ isteği gönderir. Bu yapılandırma, saldırgan tarafından kontrol edilen bir web sunucusuna giden URL’yi ve hedeflenen sunucunun yanıt vermesi gereken kullanıcı kimliğini içerir.
Hedeflenen sunucu saldırganın sunucusuna yanıt verdiğinde, kullanıcı kimliğine bağlı kullanıcı adı ve şifrelenmiş parolayı da içerecektir.
Kheirkhah’ın istismarı, bu bilgiyi hedeflenen sunucuyla daha fazla istek ve yanıt yapmak ve almak için kullanır ve sonuçta sunucuya bir dosya yazılır ve daha sonra kod yürütülmesi için uzaktan başlatılır, aşağıda gösterildiği gibi.
Exploit’teki son yük saldırgan tarafından kontrol edilen sunuculardan iletildiğinden, hedeflenen sunucularda hangi yüklerin oluşturulduğu şu anda bilinmiyor. Ancak, geçmişte benzer bir etkinlik, daha kolay erişim ve kalıcılık için hedeflenen cihazlarda web kabukları oluşturdu.
Etkin sömürü durumu göz önüne alındığında, WhatsUp Gold yöneticileri en son güvenlik güncellemelerini veya azaltmalarını uygulamalı ve şüpheli etkinlikleri izlemeye devam etmelidir.
WhatsUp Gold sunucusunun da bir güvenlik duvarının arkasına yerleştirilmesi ve yalnızca içeriden veya güvenilir IP adresleri tarafından erişilebilir olması gerekir.