Araştırmacılar, işletmeler için popüler bir ağ izleme çözümü olan Progress WhatsUp Gold’u etkileyen kritik bir uzaktan kod yürütme güvenlik açığı olan CVE-2024-8785 için bir kavram kanıtlama (PoC) istismarı yayınladı.
CVE-2024-8785 ve PoC istismarı
CVE-2024-8785, ayrıcalıklı bir uygulama programlama arayüzünün (API) hatalı kullanımından kaynaklanıyor ve saldırganların Windows Kayıt Defterinin üzerine yazmasına olanak tanıyor.
Söz konusu API uç noktası – NmAPI.exe – Kimliği doğrulanmamış uzaktaki saldırganlar tarafından mevcut bir kayıt defteri değerini değiştirmek veya yeni bir kayıt defteri değeri oluşturmak için kullanılabilir. HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch.
“Özellikle saldırgan değişebilir HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\Network Monitor\WhatsUp Gold\Setup\InstallDir saldırgan tarafından kontrol edilen bir ana bilgisayara işaret eden bir UNC yoluna (ör. \\
“Ipswitch Hizmet Kontrol Yöneticisi hizmeti (ServiceControlManager.exe) yeniden başlatılır (yani, bir Windows güncellemesinden sonra sistemin yeniden başlatılması nedeniyle), çeşitli bildirim dosyaları (ör. WhatsUpPlatform-PluginManifest.xml) saldırgan tarafından kontrol edilen ana bilgisayardan okunur. Bu dosyalar tarafından başlatılacak işlemleri belirtir. ServiceControlManager.exe. Saldırgan ekleyebilir
Ne yapalım?
CVE-2024-8785, WhatsUp Gold’un 24.0.1 sürümünden önceki sürümlerini etkiler.
Güvenlik açığı, Eylül 2024’ün başlarında Tenable to Progress Software tarafından keşfedildi ve rapor edildi. Şirket, 20 Eylül’de bu güvenlik açığına yönelik düzeltmeler (ve ayrıca dahili olarak keşfedilen diğer güvenlik açıkları) yayınladı ve kullanıcıları ortamlarını sabit bir sürüme (v24.0.1) yükseltmeye çağırdı. ) mümkün olan en kısa sürede.
Geçtiğimiz birkaç ayda saldırganlar, diğer WhatsUp Gold kusurları için halka açık PoC açıklarından defalarca yararlandı, bu nedenle yükseltme her zamankinden daha önemli.