Aviso del 5 de diciembre: Vulnerabilidad RCE en WhatsUp Gold [CVE-2024-8785] en curso

Fecha de divulgación: 24 de septiembre de 2024

CVE-2024-8785 es un fallo en las versiones de Progress WhatsUp Gold anteriores a la 24.0.1 que permite a un atacante remoto no autenticado utilizar NmAPI.exe para crear o cambiar un valor de registro existente en la ruta de registro HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\.

La divulgación inicial de CVE-2024-8785 se produjo cuando Progress Software publicó un boletín de seguridad boletín el 24 de septiembre de 2024, unos meses antes de la asignación del CVE. Existe un exploit para esta vulnerabilidad, tal y como reconoció Progress Software después de que Tenable informara de ella. Sin embargo, actualmente no tenemos acceso al exploit en sí. Tenable ha publicado un escrito que explica cómo podría explotarse la vulnerabilidad.

Censys Perspectiva

En el momento de redactar este informe, Censys observó 1,219 instancias de WhatsUp Gold expuestas en línea. Una gran proporción de ellas (51%) están geolocalizadas en Brasil. Censys observó alrededor del 18% de las instancias expuestas estaban asociadas a Kesley Matias Da Silva (ASN 269393), un proveedor de telecomunicaciones. Obsérvese que no todas ellas son necesariamente vulnerables, ya que no siempre se dispone de versiones específicas.

Mapa de instancias expuestas de WhatsUp Gold:

Censys Consulta de búsqueda:

services.software: (vendor="Progress" and product="WhatsUp Gold")

Censys Consulta ASM:

host.services.software.vendor="Progress" and host.services.software.product="WhatsUp Gold"

Referencias

• https://nvd.nist.gov/vuln/detail/CVE-2024-8785
• https://community.progress.com/s/article/WhatsUp-Gold-Security-Bulletin-September-2024
• https://www.tenable.com/security/research/tra-2024-48