Progress WhatsUp Gold’da kritik öneme sahip bir uzaktan kod yürütme kusuruna yönelik bir kavram kanıtlama (PoC) açığı yayınlandı ve bu da en son güvenlik güncellemelerinin mümkün olan en kısa sürede yüklenmesini kritik hale getiriyor.
Kusur, CVE-2024-8785 (CVSS v3.1 puanı: 9.8) olarak izleniyor ve Tenable tarafından Ağustos 2024’ün ortasında keşfedildi. 2023.1.0 ve 24.0 öncesi WhatsUp Gold sürümlerinde NmAPI.exe işleminde mevcut. 1.
Windows Kayıt Defterini Yönetme
NmAPI.exe başlatıldığında, WhatsUp Gold için gelen istekleri dinleyen ve işleyen bir ağ yönetimi API arayüzü sağlar.
Gelen verilerin doğrulanmasının yetersiz olması nedeniyle saldırganlar, WhatsUp Gold yapılandırma dosyalarının nereden okunacağını kontrol eden hassas Windows kayıt defteri anahtarlarını değiştirmek veya bunların üzerine yazmak için özel hazırlanmış istekler gönderebilir.
“Kimliği doğrulanmamış uzak bir saldırgan, net.tcp:// adresindeki netTcpBinding aracılığıyla UpdateFailoverRegistryValues işlemini başlatabilir.
“Saldırgan, UpdateFailoverRegistryValues işlemi aracılığıyla mevcut bir kayıt defteri değerini değiştirebilir veya HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\ altındaki herhangi bir kayıt defteri yolu için yeni bir kayıt defteri yolu oluşturabilir.”
“Özellikle, saldırgan HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\Network Monitor\WhatsUp Gold\Setup\InstallDir’i saldırgan tarafından kontrol edilen bir ana bilgisayara işaret eden bir UNC yoluna değiştirebilir (ör. \\
Ipswitch Hizmet Kontrol Yöneticisi hizmeti bir sonraki sefer yeniden başlatıldığında, saldırgan tarafından kontrol edilen uzak paylaşımdaki çeşitli yapılandırma dosyalarını okuyacak ve bu dosyalar, saldırganın savunmasız WhatsUp Gold sisteminde istediği herhangi bir uzaktan yürütülebilir dosyayı başlatmak için kullanılabilecek.
Böyle bir senaryodan kaynaklanan bariz risklerin yanı sıra, sistem kayıt defterini değiştirme yeteneği, saldırıya, sistem önyüklemesi sırasında kötü amaçlı kod çalıştırılacak şekilde başlangıç anahtarlarında değişiklik yapmak gibi mükemmel kalıcılık yetenekleri de sağlar.
CVE-2024-8785’in kullanılması kimlik doğrulama gerektirmez ve NmAPI.exe hizmetine ağ üzerinden erişilebildiğinden risk önemlidir.
WhatsUp Gold’u şimdi güncelleyin
WhatsUp Gold dağıtımlarını yöneten sistem yöneticilerinin mümkün olan en kısa sürede 24.0.1 sürümüne yükseltme yapması gerekir.
Progress Software, 24 Eylül 2024’te CVE-2024-8785’i ve diğer beş kusuru ele alan güvenlik güncellemelerini yayınladı ve kurulum talimatlarını içeren ilgili bülteni burada yayınladı.
WhatsUp Gold, tehdit aktörlerinin savunmasız uç noktalara saldırmak için kamuya açık açıklardan yararlanmasıyla son zamanlarda yine bilgisayar korsanları tarafından hedef alındı.
Ağustos ayı başlarında tehdit aktörleri, kurumsal ağlara ilk erişim elde etmek amacıyla kritik bir WhatsUp Gold RCE kusuru için halka açık PoC’leri kullandı.
Eylül ayında bilgisayar korsanları, WhatsUp Gold’daki iki kritik SQL ekleme güvenlik açığı için genel açıklardan faydalandı ve bu da onların parolayı bilmeden yönetici hesaplarını ele geçirmelerine olanak sağladı.
Progress Software’in popüler ağ izleme çözümündeki kritik güvenlik açıklarından yararlanan tehdit aktörlerinin yakın geçmişi göz önüne alındığında, mevcut güvenlik güncellemelerinin derhal uygulanması zorunludur.