Actorii de amenințare încearcă activ să exploateze o vulnerabilitate de execuție de cod la distanță WhatsUp Gold, recent remediată, pe servere expuse pentru accesul inițial la rețelele corporative.
Vulnerabilitatea folosită în aceste atacuri este CVE-2024-4885, o vulnerabilitate de execuție de cod la distanță neautentificată de gravitate critică (CVSS v3 scor: 9.8) care afectează Progress WhatsUp Gold 23.1.2 și versiunile mai vechi.
Exploatarea de concept (PoC) pentru CVE-2024-4885 este disponibilă public și vizează endpointurile WhatsUp Gold ‘/NmAPI/RecurringReport’ expuse.
Organizația de monitorizare a amenințărilor Shadowserver Foundation raportează că încercările au început pe 1 august 2024, venind de la șase adrese IP distincte.
WhatsUp Gold este o aplicație de monitorizare a rețelei care vă permite să urmăriți timpul de funcționare și disponibilitatea serverelor și serviciilor care rulează pe acestea. Cu toate acestea, așa cum se întâmplă cu orice software, ar trebui să fie accesibil doar intern, printr-un VPN sau prin adrese IP de încredere.
La 25 iunie 2024, Progress a lansat un buletin de securitate avertizând cu privire la cincisprezece bug-uri cu gravitate ridicată și critică, inclusiv CVE-2024-4885, o vulnerabilitate de execuție de cod la distanță evaluată la 9.8. Progress a îndemnat utilizatorii să facă upgrade la cea mai recentă versiune, 23.1.3, pentru a rezolva vulnerabilitățile.
CVE-2024-4885 este o vulnerabilitate de execuție de cod la distanță în funcția ‘WhatsUp.ExportUtilities.Export.GetFileWithoutZip’, permițând atacatorilor neautentificați să execute comenzi cu privilegiile utilizatorului ‘iisapppool\nmconsole’.
Acesta nu este un utilizator de admin dar totuși are permisiuni ridicate în contextul WhatsUp Gold. Poate executa cod pe server și chiar accesa sistemul subiacent.
Recomandările furnizorului pentru cei care nu pot face upgrade la 23.1.3 au fost să monitorizeze încercările de exploatare la endpointul ‘/NmAPI/RecurringReport’ și să implementeze reguli de firewall pentru a restricționa accesul doar către adresele IP de încredere pe porturile 9642 și 9643.
Vulnerabilitatea a fost descoperită de cercetătorul de securitate Sina Kheirkhah, care a publicat un articol tehnic detaliat pe blogul său, inclusiv o exploatare de concept.
Exploatarea trimite o cerere ‘TestRecurringReport’ către un endpoint de raportare WhatsUp Gold expus care conține o configurație special concepută. Această configurație include URL-ul către un server web controlat de atacator și ID-ul utilizatorului cu care serverul vizat ar trebui să răspundă.
Când serverul vizat răspunde la serverul atacatorului, va include numele utilizatorului și parola criptată asociată ID-ului utilizatorului.
Exploatarea lui Kheirkhah folosește această informație pentru a face și a primi alte cereri și răspunsuri cu serverul vizat pentru a cauza în cele din urmă scrierea unui fișier pe server, care este apoi lansat de la distanță pentru execuție de cod, așa cum este ilustrat mai jos.
Deoarece încărcătura finală în exploatare este livrată de pe serverele controlate de atacatori, nu se știe în acest moment ce încărcături sunt create pe serverele vizate. Cu toate acestea, activități similare din trecut au creat shell-uri web pe dispozitivele vizate pentru acces și persistență mai ușoară.
Dată fiind starea activă de exploatare, administratorii WhatsUp Gold ar trebui să aplice cele mai recente actualizări de securitate sau să continue monitorizarea pentru activități suspecte.
Serverul WhatsUp Gold ar trebui, de asemenea, să fie plasat în spatele unui firewall și accesibil doar intern sau de către adrese IP de încredere.
Leave a Reply