最近修正された Progress WhatsUp Gold のリモートコード実行の脆弱性を悪用し、企業ネットワークへの初回アクセスを試みる脅威が発生しています。
これらの攻撃で悪用されている脆弱性は、CVE-2024-4885 であり、Progress WhatsUp Gold 23.1.2 およびそれ以前のバージョンに影響を与える、重大度 (CVSS v3 スコア: 9.8) の認証されていないリモートコード実行の欠陥です。
CVE-2024-4885は、公開されているWhatsUp Goldの「/NmAPI/RecurringReport」エンドポイントを標的とした概念実証(PoC)が公開されています。
脅威監視組織Shadowserver Foundationの報告によると、この試みは2024年8月1日に開始され、6つの異なるIPアドレスから発信されています。
CVE-2024-4885のRCE
Progress WhatsUp Gold はネットワーク・モニタリング・アプリケーションであり、サーバーやサーバー上で実行されているサービスの稼働時間や可用性を追跡することができます。しかし、他のソフトウェアと同様に、内部、VPN 経由、または信頼できる IP アドレス経由でのみアクセスできるようにする必要があります。
2024年6月25日、Progressは、9.8評価のクリティカルなRCEの欠陥であるCVE-2024-4885を含む、15の重大性の高いバグについて警告するセキュリティ情報をリリースしました。Progressは、脆弱性を解決するために最新バージョン23.1.3にアップグレードするようユーザーに促した。
CVE-2024-4885は、「WhatsUp.ExportUtilities.Export.GetFileWithoutZip」のリモートコード実行の欠陥です。GetFileWithoutZip」関数にリモートコード実行の欠陥があり、認証されていない攻撃者が「iisapppoolnmconsole」ユーザの権限でコマンドを実行できるようになっています。
このユーザは管理者ユーザではありませんが、WhatsUp Goldのコンテキスト内では昇格した権限を持っています。サーバー上でコードを実行したり、基盤となるシステムにアクセスしたりすることもできます。
23.1.3にアップグレードできない場合のベンダーの推奨は、「/NmAPI/RecurringReport」エンドポイントにおける悪用の試みを監視し、ポート9642および9643の信頼できるIPアドレスのみにアクセスを制限するファイアウォールルールを実装することである。
この欠陥は、セキュリティ研究者のSina Kheirkhah氏によって発見され、概念実証を含む詳細な技術的記述を自身のブログで公開した。
このエクスプロイトは、公開されているWhatsUp Goldのレポートエンドポイントに、特別に細工された設定を含む「TestRecurringReport」リクエストを送信します。この設定には、攻撃者が制御するWebサーバーへのURLと、標的となるサーバーが応答すべきユーザーIDが含まれています。
標的とされたサーバーが攻撃者のサーバーに応答する際、ユーザーIDに関連付けられたユーザー名と暗号化されたパスワードが含まれます。
Kheirkhah氏のエクスプロイトでは、この情報を使用して、標的となるサーバーへのさらなるリクエストとレスポンスの送受信を行い、最終的にサーバー上にファイルを書き込ませます。
このエクスプロイトの最終的なペイロードは、攻撃者が制御するサーバーから配信されるため、現時点では、標的となったサーバー上にどのようなペイロードが作成されているかは不明です。しかし、過去に行われた同様の活動では、標的となったデバイス上にウェブシェルが作成され、アクセスや持続が容易になっています。
悪用が活発な状況であるため、WhatsUp Gold の管理者は最新のセキュリティアップデートまたは緩和策を適用し、不審な活動がないか引き続き監視する必要があります。
また、WhatsUp Gold サーバをファイアウォールの背後に置き、内部または信頼できる IP アドレスからのみアクセスできるようにする必要があります。
Comments