5. Dezember Hinweis: RCE-Schwachstelle in WhatsUp Gold [CVE-2024-8785]

Datum der Offenlegung: September 24, 2024

CVE-2024-8785 ist ein Fehler in Progress WhatsUp Gold Versionen, die vor 24.0.1 veröffentlicht wurden, der es einem entfernten, nicht authentifizierten Angreifer ermöglicht, die NmAPI.exe einen bestehenden Registrierungswert im Registrierungspfad zu erstellen oder zu ändern HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\.

Die ursprüngliche Offenlegung von CVE-2024-8785 erfolgte, als Progress Software ein Sicherheitsbulletin veröffentlichte Bulletin am 24. September 2024 veröffentlichte, was der CVE-Zuweisung um einige Monate vorausging. Es gibt einen Exploit für diese Schwachstelle, wie von Progress Software nach der Meldung durch Tenable bestätigt wurde. Allerdings haben wir derzeit keinen Zugriff auf den Exploit selbst. Tenable hat einen detaillierten Aufsatz veröffentlicht, der erklärt, wie die Schwachstelle ausgenutzt werden kann.

Censys Blickwinkel

Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys 1,219 exponierte WhatsUp Gold-Instanzen online. Ein großer Teil dieser Instanzen (51%) befinden sich in Brasilien. Censys beobachtete etwa 18% der exponierten Instanzen mit Kesley Matias Da Silva (ASN 269393), einem Telekommunikationsanbieter, in Verbindung stehen. Es ist zu beachten, dass nicht alle dieser Instanzen verwundbar sind, da spezifische Versionen nicht immer verfügbar sind.

Karte der aufgedeckten WhatsUp Gold-Instanzen:

Censys Search Abfrage:

services.software: (vendor="Progress" and product="WhatsUp Gold")

Censys ASM-Abfrage:

host.services.software.vendor="Progress" and host.services.software.product="WhatsUp Gold"

Referenzen

• https://nvd.nist.gov/vuln/detail/CVE-2024-8785
• https://community.progress.com/s/article/WhatsUp-Gold-Security-Bulletin-September-2024
• https://www.tenable.com/security/research/tra-2024-48