Progress Software WhatsUp Gold’u etkileyen kritik bir güvenlik açığı aktif istismar girişimlerine maruz kalıyor ve bu durum kullanıcıların en son sürümü hızla uygulamaya koymasını zorunlu hale getiriyor.
Söz konusu güvenlik açığı, 2023.1.3’ten önce yayınlanan ağ izleme uygulamasının sürümlerini etkileyen, kimliği doğrulanmamış bir uzaktan kod yürütme hatası olan CVE-2024-4885’tir (CVSS puanı: 9.8).
Şirket, Haziran 2024 sonlarında yayınladığı bir duyuruda, “WhatsUp.ExportUtilities.Export.GetFileWithoutZip, iisapppool\\nmconsole ayrıcalıklarıyla komutların yürütülmesine olanak tanır” ifadesini kullandı.
Summoning Team’den güvenlik araştırmacısı Sina Kheirkhah’a göre, kusur, kullanımdan önce kullanıcı tarafından sağlanan yolların yeterli doğrulamasını yapmayan GetFileWithoutZip yönteminin uygulanmasında bulunuyor.
Bir saldırgan, hizmet hesabı bağlamında kod yürütmek için bu davranıştan yararlanabilir. O zamandan beri Kheirkhah tarafından bir kavram kanıtı (PoC) istismarı yayımlandı.
Shadowserver Foundation, 1 Ağustos 2024’ten bu yana bu kusura karşı istismar girişimleri gözlemlediğini söyledi. X’te yayınlanan bir gönderide, “1 Ağustos’tan itibaren /NmAPI/RecurringReport CVE-2024-4885 istismar geri arama girişimlerini görüyoruz (şimdiye kadar 6 kaynak IP’si),” dedi.
WhatsUp Gold sürüm 2023.1.3, ikisi de sırasıyla NmApi.exe ve Apm.UI.Areas.APM.Controllers.CommunityController aracılığıyla kimliği doğrulanmamış uzaktan kod yürütülmesine olanak tanıyan CVE-2024-4883 ve CVE-2024-4884 (CVSS puanları: 9.8) adlı iki kritik açığı daha gideriyor.
Progress Software ayrıca, yerel saldırganların SetAdminPassword yönteminden yararlanarak etkilenen kurulumlardaki ayrıcalıklarını yükseltmelerine olanak tanıyan yüksek öneme sahip bir ayrıcalık yükseltme sorununu (CVE-2024-5009, CVSS puanı: 8,4) ele aldı.
Progress Software’deki kusurların tehdit aktörleri tarafından kötü amaçlı olarak düzenli olarak kötüye kullanıldığı göz önüne alındığında, yöneticilerin en son güvenlik güncellemelerini uygulamaları ve olası tehditleri azaltmak için yalnızca güvenilir IP adreslerinden gelen trafiğe izin vermeleri önemlidir.