Un exploit de validation de principe (PoC) pour une faille d’exécution de code à distance de gravité critique en cours WhatsUp Gold a été publié, ce qui rend essentiel l’installation des dernières mises à jour de sécurité dès que possible.
La faille est suivie sous la référence CVE-2024-8785 (score CVSS v3.1: 9,8) et a été découverte par Tenable à la mi-août 2024. Il existe dans le NmAPI.processus exe dans les versions WhatsUp Gold à partir de 2023.1.0 et antérieures à 24.0.1.
Manipulation du registre Windows
Une fois lancé, NmAPI.exe fournit une interface API de gestion de réseau pour WhatsUp Gold, écoutant et traitant les demandes entrantes.
En raison d’une validation insuffisante des données entrantes, les attaquants pourraient envoyer des demandes spécialement conçues pour modifier ou écraser les clés de registre Windows sensibles qui contrôlent l’emplacement de lecture des fichiers de configuration WhatsUp Gold.
« Un attaquant distant non authentifié peut invoquer l’opération UpdateFailoverRegistryValues via un netTcpBinding sur net.tcp: / / < hôte cible>: 9643 », lit l’écriture de Tenable.
« Grâce à l’opération UpdateFailoverRegistryValues, l’attaquant peut modifier une valeur de registre existante ou en créer une nouvelle pour n’importe quel chemin de registre sous HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Ipswitch. »
« Plus précisément, l’attaquant peut remplacer HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Ipswitch \ Network Monitor \ WhatsUp Gold \ Setup\InstallDir par un chemin UNC pointant vers un hôte contrôlé par l’attaquant (par exemple, \ < attacker-ip> \ share\WhatsUp). »
La prochaine fois que le service Ipswitch Service Control Manager redémarrera, il lira divers fichiers de configuration à partir du partage distant contrôlé par l’attaquant, qui peuvent être utilisés pour démarrer tout exécutable distant souhaité par l’attaquant sur le système WhatsUp Gold vulnérable.
Outre les risques évidents qui découlent d’un tel scénario, la possibilité de modifier le registre système confère également à l’attaque d’excellentes capacités de persistance, telles que la modification des clés de démarrage afin que du code malveillant soit exécuté au démarrage du système.
L’exploitation de CVE-2024-8785 ne nécessite pas d’authentification, et depuis le NmAPI.le service exe est accessible sur le réseau, le risque est important.
Mettez à jour WhatsUp Gold maintenant
Les administrateurs système gérant les déploiements WhatsUp Gold doivent effectuer la mise à niveau vers la version 24.0.1 dès que possible.
Progress Software a publié des mises à jour de sécurité traitant de CVE-2024-8785 et de cinq autres failles le 24 septembre 2024, et a publié le bulletin connexe ici, contenant des instructions d’installation.
WhatsUp Gold a de nouveau été ciblé par des pirates récemment, les acteurs de la menace exploitant des exploits accessibles au public pour attaquer des terminaux vulnérables.
Début août, les auteurs de menaces ont utilisé des POC publics pour une faille critique de WhatsUp Gold RCE afin d’obtenir un accès initial aux réseaux d’entreprise.
En septembre, des pirates informatiques ont utilisé des exploits publics pour deux vulnérabilités critiques d’injection SQL dans WhatsUp Gold, ce qui leur a permis de prendre le contrôle de comptes administrateurs sans connaître le mot de passe.
Compte tenu de l’histoire récente des acteurs de la menace exploitant les vulnérabilités critiques de la solution de surveillance réseau populaire de Progress Software, il est impératif d’appliquer rapidement les mises à jour de sécurité disponibles.