Les auteurs de menaces tentent activement d’exploiter une vulnérabilité d’exécution de code à distance Progress WhatsUp Gold récemment corrigée sur les serveurs exposés pour un accès initial aux réseaux d’entreprise.
La vulnérabilité exploitée dans ces attaques est CVE-2024-4885, une faille d’exécution de code à distance non authentifiée de gravité critique (score CVSS v3: 9,8) ayant un impact sur Progress WhatsUp Gold 23.1.2 et versions antérieures.
Des exploits de preuve de concept (PoC) pour CVE-2024-4885 sont accessibles au public et ciblent les points de terminaison exposés WhatsUp Gold ‘/Map/RecurringReport’.
L’organisation de surveillance des menaces Shadowserver Foundation rapporte que les tentatives ont commencé le 1er août 2024, provenant de six adresses IP distinctes.
Le numéro d’enregistrement CVE-2024-4885
Progress WhatsUp Gold est une application de surveillance du réseau qui vous permet de suivre la disponibilité et la disponibilité des serveurs et des services qui y sont exécutés. Cependant, comme pour tout logiciel, il ne doit être accessible qu’en interne, via un VPN ou via des adresses IP de confiance.
Le 25 juin 2024, Progress a publié un bulletin de sécurité mettant en garde contre une quinzaine de bogues de gravité élevée et critique, dont CVE-2024-4885, une faille RCE critique classée 9,8. Progress a exhorté les utilisateurs à passer à la dernière version, 23.1.3, pour résoudre les vulnérabilités.
CVE-2024-4885 est une faille d’exécution de code à distance dans WhatsUp.Utilitaires d’exportation.Exporter. Fonction GetFileWithoutZip’, permettant aux attaquants non authentifiés d’exécuter des commandes avec les privilèges de l’utilisateur ‘iisapppool\nmconsole’.
Ce n’est pas un utilisateur administrateur, mais il dispose toujours d’autorisations élevées dans le contexte de WhatsUp Gold. Il peut exécuter du code sur le serveur et même accéder au système sous-jacent.
Les recommandations du fournisseur pour ceux qui ne pouvaient pas passer à la version 23.1.3 étaient de surveiller les tentatives d’exploitation sur le point de terminaison’/NmAPI/RecurringReport’ et de mettre en œuvre des règles de pare-feu pour restreindre l’accès à celui-ci uniquement aux adresses IP de confiance sur les ports 9642 et 9643.
La faille a été découverte par le chercheur en sécurité Sina Kheirkhah, qui a publié un article technique détaillé sur son blog, y compris un exploit de validation de principe.
L’exploit envoie une requête « TestRecurringReport » à un point de terminaison de reporting WhatsUp Gold exposé qui contient une configuration spécialement conçue. Cette configuration inclut l’URL d’un serveur Web contrôlé par un attaquant et l’ID utilisateur avec lequel le serveur ciblé doit répondre.
Lorsque le serveur ciblé répondra au serveur de l’attaquant, il inclura le nom d’utilisateur et le mot de passe crypté associés à l’ID utilisateur.
L’exploit de Kheirkhah utilise ces informations pour faire et recevoir d’autres requêtes et réponses avec le serveur ciblé pour finalement provoquer l’écriture d’un fichier sur le serveur, qui est ensuite lancé à distance pour l’exécution de code, comme illustré ci-dessous.
Comme la charge utile finale de l’exploit est fournie par des serveurs contrôlés par l’attaquant, on ignore pour le moment quelles charges utiles sont créées sur les serveurs ciblés. Cependant, une activité similaire dans le passé a créé des webshells sur les appareils ciblés pour un accès et une persistance plus faciles.
Compte tenu de l’état d’exploitation actif, les administrateurs WhatsUp Gold doivent appliquer les dernières mises à jour ou atténuations de sécurité et continuer à surveiller les activités suspectes.
Le serveur WhatsUp Gold doit également être placé derrière un pare-feu et accessible uniquement en interne ou par des adresses IP de confiance.