Progress Software a averti les clients de corriger plusieurs vulnérabilités critiques et de gravité élevée dans son outil de surveillance du réseau WhatsUp Gold dès que possible.
Cependant, même si elle a publié WhatsUp Gold 24.0.1, qui a résolu les problèmes vendredi dernier et publié un avis mardi, la société n’a pas encore fourni de détails sur ces failles.
« L’équipe WhatsUp Gold a identifié six vulnérabilités qui existent dans les versions inférieures à 24.0.1 », a averti Progress cette semaine.
« Nous contactons tous les clients WhatsUp Gold pour qu’ils mettent à niveau leur environnement dès que possible vers la version 24.0.1, publiée le vendredi 20 septembre. Si vous utilisez une version antérieure à 24.0.1 et que vous ne mettez pas à niveau, votre environnement restera vulnérable. »
La seule information disponible est que les six vulnérabilités ont été signalées par Sina Kheirkhah de l’équipe Summoning, Andy Niu de Trend Micro et des chercheurs de Tenable et se sont vu attribuer les identifiants CVE et les scores de base CVSS suivants:
- CVE-2024-46905: CVSS 8,8/10 (rapporté par Sina Kheirkhah)
- CVE-2024-46906: CVSS 8,8/10 (rapporté par Sina Kheirkhah)
- CVE-2024-46907: CVSS 8,8/10 (rapporté par Sina Kheirkhah)
- CVE-2024-46908: CVSS 8,8/10 (rapporté par Sina Kheirkhah)
- CVE-2024-46909: CVSS 9,8/10 (rapporté par Andy Niu)
- CVE-2024-8785: CVSS 9,8 / 10 (rapporté par Tenable)
Pour passer à la dernière version, téléchargez le programme d’installation de WhatsUp Gold 24.0.1 à partir d’ici, exécutez-le sur des serveurs WhatsUp Gold vulnérables et suivez les instructions.
Breachtrace a contacté Progress pour demander plus de détails sur ces failles, mais aucune réponse n’était immédiatement disponible.
Depuis le 30 août, des attaquants exploitent deux vulnérabilités d’injection SQL WhatsUp Gold identifiées comme CVE-2024-6670 et CVE-2024-6671. Les deux failles ont été corrigées le 16 août après avoir été signalées à Progress par la chercheuse en sécurité Sina Kheirkhah via l’initiative Zero Day (ZDI) le 22 mai.
Kheirkhah a publié un code d’exploitation de preuve de concept (PoC) pour les vulnérabilités deux semaines après leur correction le 30 août (la société de cybersécurité Trend Micro pense que les attaquants ont utilisé son exploit PoC pour contourner l’authentification et réaliser l’exécution de code à distance).
Début août, l’organisation de surveillance des menaces Shadowserver Foundation a également observé des tentatives d’exploitation de CVE-2024-4885, une vulnérabilité critique d’exécution de code à distance WhatsUp Gold divulguée le 25 juin. Kheirkhah a également découvert CVE-2024-4885 et a publié tous les détails sur son blog deux semaines plus tard.