Περιεχόμενα Άρθρου
Δημοσιεύτηκε ένα proof-of-concept (PoC) εκμετάλλευση για ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα κρίσιμης σοβαρότητας στο Progress WhatsUp Gold, καθιστώντας κρίσιμη την εγκατάσταση των πιο πρόσφατων ενημερώσεων ασφαλείας το συντομότερο δυνατό.
Το ελάττωμα παρακολουθείται ως CVE-2024-8785 (Βαθμολογία CVSS v3.1: 9,8) και ανακαλύφθηκε από την Tenable στα μέσα Αυγούστου 2024. Υπάρχει στη διαδικασία NmAPI.exe σε εκδόσεις WhatsUp Gold από το 2023.1.0 και πριν από τις 24.0.1.
Χειρισμός του μητρώου των Windows
Κατά την εκκίνηση, το NmAPI.exe παρέχει μια διεπαφή API διαχείρισης δικτύου για το WhatsUp Gold, ακρόαση και επεξεργασία εισερχόμενων αιτημάτων.
Λόγω της ανεπαρκούς επικύρωσης των εισερχόμενων δεδομένων, οι εισβολείς θα μπορούσαν να στείλουν ειδικά κατασκευασμένα αιτήματα για να τροποποιήσουν ή να αντικαταστήσουν ευαίσθητα κλειδιά μητρώου των Windows που ελέγχουν από πού διαβάζονται τα αρχεία διαμόρφωσης WhatsUp Gold.
“Ένας απομακρυσμένος εισβολέας χωρίς έλεγχο ταυτότητας μπορεί να επικαλεστεί τη λειτουργία UpdateFailoverRegistryValues μέσω ενός netTcpBinding στη διεύθυνση net.tcp://
“Μέσω της λειτουργίας UpdateFailoverRegistryValues, ο εισβολέας μπορεί να αλλάξει μια υπάρχουσα τιμή μητρώου ή να δημιουργήσει μια νέα για οποιαδήποτε διαδρομή μητρώου στο HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\.”
“Συγκεκριμένα, ο εισβολέας μπορεί να αλλάξει το HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\Network Monitor\WhatsUp Gold\Setup\InstallDir σε μια διαδρομή UNC που δείχνει σε έναν κεντρικό υπολογιστή που ελέγχεται από τον εισβολέα (δηλαδή, \\
Την επόμενη φορά που θα γίνει επανεκκίνηση της υπηρεσίας Ipswitch Service Control Manager, θα διαβάσει διάφορα αρχεία διαμόρφωσης από το κοινόχρηστο στοιχείο απομακρυσμένου ελεγχόμενου από εισβολέα, το οποίο μπορεί να χρησιμοποιηθεί για την εκκίνηση οποιουδήποτε απομακρυσμένου εκτελέσιμου αρχείου επιθυμεί ο εισβολέας στο ευάλωτο σύστημα WhatsUp Gold.
Εκτός από τους προφανείς κινδύνους που προκύπτουν από ένα τέτοιο σενάριο, η δυνατότητα τροποποίησης του μητρώου συστήματος παρέχει επίσης στην επίθεση εξαιρετικές δυνατότητες επιμονής, όπως η πραγματοποίηση αλλαγών στα κλειδιά εκκίνησης, ώστε ο κακόβουλος κώδικας να εκτελείται κατά την εκκίνηση του συστήματος.
Η εκμετάλλευση του CVE-2024-8785 δεν απαιτεί έλεγχο ταυτότητας και δεδομένου ότι η υπηρεσία NmAPI.exe είναι προσβάσιμη μέσω του δικτύου, ο κίνδυνος είναι σημαντικός.
Ενημερώστε το WhatsUp Gold τώρα
Οι διαχειριστές συστήματος που διαχειρίζονται τις αναπτύξεις του WhatsUp Gold θα πρέπει να αναβαθμίσουν στην έκδοση 24.0.1 το συντομότερο δυνατό.
Το Progress Software κυκλοφόρησε ενημερώσεις ασφαλείας που αντιμετωπίζουν το CVE-2024-8785 και πέντε ακόμη ελαττώματα στις 24 Σεπτεμβρίου 2024 και δημοσίευσε τις σχετικές δελτίο εδώπου περιέχει οδηγίες εγκατάστασης.
Το WhatsUp Gold βρέθηκε ξανά στο στόχαστρο χάκερ πρόσφατα, με τους παράγοντες απειλών να αξιοποιούν δημόσια διαθέσιμα exploit για να επιτεθούν σε ευάλωτα τελικά σημεία.
Στις αρχές Αυγούστου, οι φορείς απειλών χρησιμοποίησαν δημόσια PoC για ένα κρίσιμο ελάττωμα του WhatsUp Gold RCE για να αποκτήσουν αρχική πρόσβαση στα εταιρικά δίκτυα.
Τον Σεπτέμβριο, οι χάκερ χρησιμοποίησαν δημόσια εκμεταλλεύσεις για δύο κρίσιμα τρωτά σημεία SQL injection στο WhatsUp Gold, τα οποία τους επέτρεψαν να αναλάβουν λογαριασμούς διαχειριστή χωρίς να γνωρίζουν τον κωδικό πρόσβασης.
Δεδομένης της πρόσφατης ιστορίας των παραγόντων απειλών που εκμεταλλεύονται κρίσιμα τρωτά σημεία στη δημοφιλή λύση παρακολούθησης δικτύου της Progress Software, είναι επιτακτική ανάγκη να εφαρμοστούν έγκαιρα οι διαθέσιμες ενημερώσεις ασφαλείας.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια:
Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση;
Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο.
Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια
Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.