Se ha lanzado un exploit de prueba de concepto (PoC) para una falla de ejecución remota de código de gravedad crítica en Progress WhatsUp Gold, por lo que es esencial instalar las últimas actualizaciones de seguridad lo antes posible.
La falla se sigue como CVE-2024-8785 (Puntuación CVSS v3.1: 9,8) y fue descubierto por Tenable a mediados de agosto de 2024. Existe en el proceso NmAPI.exe en las versiones de WhatsUp Gold desde 2023.1.0 y anteriores a 24.0.1.
Manipular el Registro de Windows
Una vez iniciado, NmAPI.exe proporciona una interfaz API de red para WhatsUp Gold, que escucha y procesa las solicitudes entrantes.
Debido a una validación insuficiente de los datos entrantes, los atacantes podrían enviar solicitudes especialmente diseñadas para modificar o sobrescribir claves confidenciales del registro de Windows que controlan dónde se leen los archivos de configuración de WhatsUp Gold.
«Un atacante remoto no autenticado puede invocar la operación UpdateFailoverRegistryValues a través de netTcpBinding en net.tcp://
«A través de la operación UpdateFailoverRegistryValues , el atacante puede modificar un valor de registro existente o crear uno nuevo para cualquier ruta de registro en HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\».
«Específicamente, el atacante puede reemplazar HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\Network Monitor\WhatsUp Gold\Setup\InstallDir con una ruta UNC que apunte a un host controlado por el atacante (es decir, \\
La próxima vez que se reinicie el servicio Ipswitch Service Control Manager, leerá varios archivos de configuración del recurso compartido remoto controlado por el atacante, que pueden usarse para iniciar cualquier ejecutable remoto que desee el atacante en el vulnerable sistema WhatsUp Gold.
Además de los riesgos obvios que surgen de tal escenario, la capacidad de modificar el registro del sistema también brinda al ataque excelentes capacidades de persistencia, como cambiar las claves de inicio para que el código malicioso se ejecute al iniciar el sistema.
La explotación de CVE-2024-8785 no requiere autenticación y, dado que se puede acceder al servicio NmAPI.exe a través de la red, el riesgo es significativo.
Actualiza WhatsUp Gold ahora
Los administradores de sistemas que administran implementaciones de WhatsUp Gold deben actualizar a la versión 24.0.1 lo antes posible.
Progress Software lanzó actualizaciones de seguridad que solucionan CVE-2024-8785 y otras cinco vulnerabilidades el 24 de septiembre de 2024, y publicó información relacionada. boletín aquíque contiene instrucciones de instalación.
WhatsUp Gold ha vuelto a ser blanco de piratas informáticos recientemente, y los actores maliciosos aprovechan exploits disponibles públicamente para atacar puntos finales vulnerables.
A principios de agosto, los actores de amenazas utilizaron PoC públicas para una vulnerabilidad crítica en WhatsUp Gold RCE para obtener acceso inicial a las redes corporativas.
En septiembre, los piratas informáticos utilizaron exploits públicos para dos vulnerabilidades críticas de inyección SQL en WhatsUp Gold, lo que les permitió tomar el control de las cuentas de administrador sin conocer la contraseña.
Dada la historia reciente de actores maliciosos que explotan vulnerabilidades críticas en la popular solución de monitoreo de red de Progress Software, es imperativo aplicar rápidamente las actualizaciones de seguridad disponibles.