Date de divulgation : 24 septembre 2024
CVE-2024-8785 est une faille dans les versions de Progress WhatsUp Gold antérieures à la version 24.0.1 qui permet à un attaquant distant non authentifié d'exploiter le fichier NmAPI.exe pour créer ou modifier une valeur de registre existante dans le chemin de registre HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\.
La divulgation initiale de CVE-2024-8785 a eu lieu lorsque Progress Software a publié un bulletin de sécurité bulletin le 24 septembre 2024, précédant de quelques mois l'attribution du CVE. Il existe un programme d'exploitation pour cette vulnérabilité, comme l'a reconnu Progress Software après qu'elle ait été signalée par Tenable. Cependant, nous n'avons actuellement pas accès à l'exploit lui-même. Tenable a publié un note d'information qui explique comment la vulnérabilité peut être exploitée.
| Champ d'application |
Détails |
| CVE-ID |
CVE-2024-8785 - CVSS 9.8 (critique) - attribué par Progress Software Corporation |
| Description de la vulnérabilité |
Dans les versions de WhatsUp Gold antérieures à la version 2024.0.1, un attaquant distant non authentifié peut utiliser la commande NmAPI.exe pour créer ou modifier une valeur de registre existante dans le chemin de registre HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\. |
| Date de la divulgation |
24 septembre 2024 |
| Actifs touchés |
NmAPI.exe en cours WhatsUp Gold |
| Versions de logiciels vulnérables |
Versions antérieures à 2024.0.1 |
| PoC disponible ? |
Progress Software a reconnu l'existence d'un exploit public, et Tenable a publié une article détaillant le fonctionnement de l'exploit. |
| Statut d'exploitation |
Au moment de la rédaction du présent document, ce CVE n'apparaissait pas sur le KEV de CISA et n'avait pas été observé dans GreyNoise. |
| Statut du patch |
Progress Software a publié un bulletin de sécurité bulletin de sécurité en septembre avec des instructions pour la mise à jour de WhatsUp Gold. |
Censys Perspective
Au moment de la rédaction du présent document, Censys a observé 1,219 instances WhatsUp Gold exposées en ligne. Une grande partie d'entre elles (51%) sont géolocalisées au Brésil. Censys a observé environ 18% des instances exposées étaient associées à Kesley Matias Da Silva (ASN 269393), un fournisseur de télécommunications. Il convient de noter que toutes ces instances ne sont pas nécessairement vulnérables, car les versions spécifiques ne sont pas toujours disponibles.
Carte des instances exposées de WhatsUp Gold :
Censys Requête de recherche :
services.software: (vendor="Progress" and product="WhatsUp Gold")
Censys Requête ASM :
host.services.software.vendor="Progress" and host.services.software.product="WhatsUp Gold"
Références
