Lỗ Hổng RCE Trong WhatsUp Gold: Nguy Cơ Bị Khai Thác và Biện Pháp Phòng Ngừa
Một khai thác proof-of-concept (PoC) cho lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng trong Progress WhatsUp Gold đã được công bố, nhấn mạnh sự cần thiết phải cài đặt các bản cập nhật bảo mật mới nhất ngay lập tức. Lỗ hổng này được theo dõi với mã CVE-2024-8785, có điểm CVSS v3.1 là 9.8, và được phát hiện bởi Tenable vào giữa tháng 8 năm 2024. Lỗ hổng tồn tại trong quá trình NmAPI.exe của WhatsUp Gold phiên bản từ 2023.1.0 và trước 24.0.1.
Cách thức khai thác
Khi được khởi chạy, NmAPI.exe cung cấp một giao diện API quản lý mạng cho WhatsUp Gold, lắng nghe và xử lý các yêu cầu đến. Do việc xác thực dữ liệu đầu vào không đủ, kẻ tấn công có thể gửi các yêu cầu được tạo đặc biệt để thay đổi hoặc ghi đè các khóa registry nhạy cảm của Windows, điều khiển nơi mà các tệp cấu hình của WhatsUp Gold được đọc.
Kẻ tấn công không cần xác thực có thể gọi hoạt động UpdateFailoverRegistryValues thông qua netTcpBinding tại net.tcp://<target-host>:9643. Thông qua hoạt động này, kẻ tấn công có thể thay đổi giá trị registry hiện có hoặc tạo một giá trị mới cho bất kỳ đường dẫn registry nào dưới HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch. Cụ thể, kẻ tấn công có thể thay đổi HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\Network Monitor\WhatsUp Gold\Setup\InstallDir thành một đường dẫn UNC trỏ đến một máy chủ do kẻ tấn công kiểm soát.
Nguy cơ và khuyến nghị
Khi dịch vụ Ipswitch Service Control Manager khởi động lại, nó sẽ đọc các tệp cấu hình từ chia sẻ từ xa do kẻ tấn công kiểm soát, điều này có thể được sử dụng để khởi chạy bất kỳ tệp thực thi từ xa nào mà kẻ tấn công mong muốn trên hệ thống WhatsUp Gold dễ bị tấn công. Ngoài các rủi ro rõ ràng từ kịch bản này, khả năng sửa đổi registry hệ thống cũng cung cấp cho kẻ tấn công khả năng duy trì lâu dài, như thay đổi các khóa khởi động để mã độc được thực thi khi hệ thống khởi động.
Các quản trị viên hệ thống quản lý các triển khai WhatsUp Gold nên nâng cấp lên phiên bản 24.0.1 càng sớm càng tốt. Progress Software đã phát hành các bản cập nhật bảo mật giải quyết CVE-2024-8785 và năm lỗ hổng khác vào ngày 24 tháng 9 năm 2024, và đã công bố thông báo liên quan cùng hướng dẫn cài đặt 1. Với lịch sử gần đây của các tác nhân đe dọa khai thác các lỗ hổng nghiêm trọng trong giải pháp giám sát mạng phổ biến của Progress Software, việc áp dụng các bản cập nhật bảo mật có sẵn là điều cần thiết.
