Progress Software社は、同社のネットワーク・モニタリング・ツールWhatsUp Goldに存在する複数の重大かつ深刻度の高い脆弱性について、早急にパッチを適用するよう顧客に警告した。
しかし、先週金曜日にこれらの問題に対処したWhatsUp Gold 24.0.1をリリースし、火曜日にアドバイザリを発表したにもかかわらず、同社はまだこれらの欠陥に関する詳細を提供していない。
「WhatsUp Goldチームは、24.0.1以下のバージョンに存在する6つの脆弱性を特定しました。
「WhatsUp Goldをご利用のお客様には、9月20日(金)にリリースされたバージョン24.0.1にできるだけ早くアップグレードしていただくようお願いしています。24.0.1より古いバージョンを使用しており、アップグレードしない場合、その環境は脆弱なままとなります。
入手可能な唯一の情報は、Summoning TeamのSina Kheirkhah氏、Trend MicroのAndy Niu氏、およびTenableの研究者によって報告された6件の脆弱性で、以下のCVE IDとCVSSベーススコアが割り当てられている:
- CVE-2024-46905:CVSS 8.8/10 (Sina Kheirkhah による報告)
- CVE-2024-46906: CVSS 8.8/10 (Sina Kheirkhah による報告)CVSS 8.8/10 (Sina Kheirkhah による報告)
- cve-2024-46907CVSS 8.8/10 (Sina Kheirkhah により報告)
- cve-2024-46908: CVSS 8.8/10 (reported by Sina Kheirkhah)CVSS 8.8/10 (Sina Kheirkhah により報告)
- cve-2024-46909CVSS 9.8/10 (Andy Niu による報告)
- CVE-2024-8785: CVSS 9.8/10 (Tenable による報告)
最新版にアップグレードするには、WhatsUp Gold 24.0.1インストーラをこちらからダウンロードし、脆弱性のあるWhatsUp Goldサーバ上で実行し、プロンプトに従ってください。
これらの欠陥について、より詳細な情報を求めるために Progress に連絡したが、すぐに回答は得られなかった。
8月30日以降、攻撃者はCVE-2024-6670およびCVE-2024-6671として追跡されている2つのWhatsUp Gold SQLインジェクションの脆弱性を悪用しています。どちらの欠陥も、5月22日にセキュリティ研究者のSina Kheirkhah氏がZero Day Initiative(ZDI)を通じてプログレスに報告した後、8月16日にパッチが適用された。
Kheirkhah氏は、脆弱性が修正された2週間後の8月30日に、この脆弱性の概念実証(PoC)エクスプロイトコードを公開した(サイバーセキュリティ企業Trend Micro社は、攻撃者が彼のPoCエクスプロイトを使用して認証を回避し、リモートでコードを実行したと考えている)。
8月上旬には、脅威監視組織Shadowserver Foundationも、6月25日に公開されたリモートでコードが実行されるWhatsUp Goldの重大な脆弱性CVE-2024-4885を悪用しようとする試みを観測している。Kheirkhah氏もCVE-2024-4885を発見し、2週間後に自身のブログで全容を公表した。
Comments