Progress Software

Progress WhatsUp Gold の重大なリモート・コード実行の欠陥に対する概念実証 (PoC) が公開されたため、最新のセキュリティ・アップデートをできるだけ早くインストールすることが重要です。

この欠陥はCVE-2024-8785(CVSSv3.1 スコア:9.8)として追跡されており、2024 年 8 月中旬に Tenable によって発見されました。この欠陥は、WhatsUp Goldの2023.1.0以降のバージョンおよび24.0.1以前のバージョンのNmAPI.exeプロセスに存在します。

Windowsレジストリの操作

起動すると、NmAPI.exeはWhatsUp Goldのネットワーク管理APIインターフェイスを提供し、受信要求をリッスンして処理します。

受信データの検証が不十分なため、攻撃者は特別に細工したリクエストを送信して、WhatsUp Goldの設定ファイルの読み取り元を制御する機密性の高いWindowsレジストリキーを変更または上書きする可能性があります。

「認証されていないリモートの攻撃者は、net.tcp://<target-host>:9643でnetTcpBindingを介してUpdateFailoverRegistryValues操作を呼び出すことができます

「攻撃者は、UpdateFailoverRegistryValues操作を通じて、HKEY_LOCAL_MACHINE下の任意のレジストリパスに対して、既存のレジストリ値を変更したり、新しいレジストリ値を作成したりすることができます。

「具体的には、攻撃者は、HKEY_LOCAL_MACHINESOFTWAREWOW6432Node ㊤Ipswitch ㊦Network Monitor ㊦WhatsUp ㊦Setup ㊦InstallDir を、攻撃者が制御するホスト(㊦<攻撃者-ip>㊦share㊦WhatsUp)を指すUNCパスに変更できます。

次にIpswitch Service Control Managerサービスが再起動すると、攻撃者が制御するリモート共有から様々な設定ファイルを読み込み、脆弱なWhatsUp Goldシステム上で攻撃者が望むリモート実行ファイルを起動するために使用することができます。

このようなシナリオから発生する明白なリスクとは別に、システムレジストリを変更する機能は、システム起動時に悪意のあるコードが実行されるようにスタートアップキーに変更を加えるなど、攻撃に優れた永続性を与えます。

CVE-2024-8785の悪用には認証が不要であり、NmAPI.exeサービスはネットワーク経由でアクセス可能であるため、リスクは重大です。

今すぐ WhatsUp Gold をアップデート

WhatsUp Gold を管理しているシステム管理者は、できるだけ早くバージョン 24.0.1 にアップグレードしてください。

Progress Software は、2024 年 9 月 24 日に CVE-2024-8785 およびその他 5 つの欠陥に対応するセキュリティ更新プログラムをリリースし、インストール手順を含む関連情報をここに公開しました。

WhatsUp Goldは最近再びハッカーに狙われており、脅威行為者は公開されているエクスプロイトを利用して脆弱なエンドポイントを攻撃しています。

8月上旬、脅威者はWhatsUp Gold RCEの重大な欠陥に関する公開PoCを利用して、企業ネットワークへの初期アクセスを試みました

9月には、ハッカーがWhatsUp Goldの2つの重大なSQLインジェクションの脆弱性を悪用し、公開されているエクスプロイトを利用して、パスワードを知らなくても管理者アカウントを乗っ取ることができました。

Progress Software の人気の高いネットワーク・モニタリング・ソリューションの重大な脆弱性を悪用する脅威者が最近発生していることを考えると、利用可能なセキュリティ・アップデートを速やかに適用することが不可欠です。