WhatsUp Gold: реестр Windows открывает двери для корпоративного шпионажа

Специалисты Tenable опубликовали в сети PoC-эксплойт для критической уязвимости в Progress WhatsUp Gold, которая позволяет удаленно выполнить код на устройстве.

RCE-уязвимость CVE-2024-8785 (оценка CVSS: 9.8) связана с недостаточной проверкой данных и позволяет атакующему отправить специально подготовленные запросы, изменяющие или перезаписывающие ключи реестра Windows, которые отвечают за пути к конфигурационным файлам.

Ошибка была обнаружена Tenable в середине августа 2024 года. Проблема затрагивает процесс NmAPI.exe в версиях WhatsUp Gold от 2023.1.0 и ниже 24.0.1. NmAPI.exe предоставляет API для управления сетью, принимая и обрабатывая входящие запросы. Для эксплуатации проблемы не требуется авторизация, а доступность службы NmAPI.exe по сети увеличивает риски.

Эксплойт позволяет изменять существующие значения реестра или создавать новые в разделе HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch. Например, ключ InstallDir может быть перенаправлен на сетевой ресурс, контролируемый злоумышленником, что даёт возможность загрузить и выполнить вредоносные файлы.

После перезапуска службы Ipswitch Service Control Manager конфигурационные файлы читаются из удалённого ресурса, открывая возможность запускать произвольный код на уязвимой системе. Кроме того, изменение реестра предоставляет хакеру способ закрепиться в системе, например, через добавление вредоносного кода в автозагрузку.

Администраторам систем, использующих WhatsUp Gold, следует незамедлительно обновить платформу до версии 24.0.1. Обновления безопасности, устраняющие данную и ещё 5 уязвимостей, были выпущены Progress Software 24 сентября. В сопроводительном бюллетене содержатся инструкции по установке.

WhatsUp Gold уже не первый раз становится целью атак. В августе 2024 года хакеры начали активно эксплуатировать две критические уязвимости, чтобы получить контроль над учётными записями администратора. Еще раньше в WhatsUp Gold была выявлена уязвимость, позволяющая злоумышленникам выполнять произвольный код на сервере без необходимости аутентификации.