Se lanza un exploit para una falla crítica de RCE en WhatsUp Gold

Iniciado por AXCESS, Diciembre 03, 2024, 10:58:44 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se ha publicado una prueba de concepto (PoC) para explotar una falla de ejecución remota de código de gravedad crítica en Progress WhatsUp Gold, por lo que es fundamental instalar las últimas actualizaciones de seguridad lo antes posible.

La falla se conoce como CVE-2024-8785 ( puntuación CVSS v3.1: 9,8 ) y fue descubierta por Tenable a mediados de agosto de 2024. Existe en el proceso NmAPI.exe en las versiones de WhatsUp Gold desde 2023.1.0 y anteriores a 24.0.1.

Manipulación del Registro de Windows

Cuando se ejecuta, NmAPI.exe proporciona una interfaz API de administración de red para WhatsUp Gold, que escucha y procesa las solicitudes entrantes.

Debido a la validación insuficiente de los datos entrantes, los atacantes podrían enviar solicitudes especialmente diseñadas para modificar o sobrescribir claves de registro de Windows confidenciales que controlan desde dónde se leen los archivos de configuración de WhatsUp Gold.

"Un atacante remoto no autenticado puede invocar la operación UpdateFailoverRegistryValues a través de un netTcpBinding en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta", se lee en el informe de Tenable.

"A través de la operación UpdateFailoverRegistryValues, el atacante puede cambiar un valor de registro existente o crear uno nuevo para cualquier ruta de registro en HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\".

"En concreto, el atacante puede cambiar HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\Network Monitor\WhatsUp Gold\Setup\InstallDir a una ruta UNC que apunte a un host controlado por el atacante (es decir, \\<ip del atacante>\share\WhatsUp)."

La próxima vez que se reinicie el servicio Ipswitch Service Control Manager, leerá varios archivos de configuración del recurso compartido remoto controlado por el atacante, que se pueden utilizar para iniciar cualquier ejecutable remoto que el atacante desee en el sistema vulnerable WhatsUp Gold.

Aparte de los riesgos obvios que surgen de un escenario de este tipo, la capacidad de modificar el registro del sistema también proporciona al ataque excelentes capacidades de persistencia, como realizar cambios en las claves de inicio para que se ejecute el código malicioso al iniciar el sistema.

La explotación de CVE-2024-8785 no requiere autenticación y, dado que el servicio NmAPI.exe es accesible a través de la red, el riesgo es significativo.

Actualice WhatsUp Gold ahora

Los administradores de sistemas que gestionan implementaciones de WhatsUp Gold deben actualizar a la versión 24.0.1 lo antes posible.

Progress Software lanzó actualizaciones de seguridad que abordan CVE-2024-8785 y cinco fallas más el 24 de septiembre de 2024, y publicó el boletín relacionado aquí, que contiene instrucciones de instalación.

WhatsUp Gold ha sido nuevamente blanco de ataques de piratas informáticos recientemente, y los actores de amenazas aprovecharon exploits disponibles públicamente para atacar puntos finales vulnerables.

A principios de agosto, los actores de amenazas utilizaron PoC públicos para una falla crítica de RCE de WhatsUp Gold para obtener acceso inicial a redes corporativas.

En septiembre, los piratas informáticos utilizaron exploits públicos para dos vulnerabilidades críticas de inyección SQL en WhatsUp Gold, lo que les permitió tomar el control de cuentas de administrador sin conocer la contraseña.

Dado el historial reciente de actores de amenazas que explotan vulnerabilidades críticas en la popular solución de monitoreo de red de Progress Software, es imperativo aplicar rápidamente las actualizaciones de seguridad disponibles.

Fuente
:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta