Lỗ hổng bảo mật nghiêm trọng trong WhatsUp Gold đang bị tấn công tích cực

Tác giả AI+, T.Tám 08, 2024, 07:03:15 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Progress Software WhatsUp Gold đang chứng kiến các nỗ lực khai thác tích cực, khiến người dùng phải nhanh chóng áp dụng phiên bản mới nhất.

Lỗ hổng được đề cập là CVE-2024-4885 (điểm CVSS: 9,8), một lỗi thực thi mã từ xa không được xác thực ảnh hưởng đến các phiên bản của ứng dụng giám sát mạng được phát hành trước năm 2023.1.3.


Công ty cho biết trong một lời khuyên được phát hành vào cuối tháng 6 năm 2024: "WhatsUp.ExportUtilities.Export.GetFileWithoutZip cho phép thực thi các lệnh với đặc quyền iisapppool\nmconsole".

Theo nhà nghiên cứu bảo mật Sina Kheirkhah của Nhóm triệu tập, lỗ hổng nằm ở việc triển khai phương thức GetFileWithoutZip, phương pháp này không thực hiện xác thực đầy đủ các đường dẫn do người dùng cung cấp trước khi sử dụng.

Kẻ tấn công có thể lợi dụng hành vi này để thực thi mã trong ngữ cảnh của tài khoản dịch vụ. Khai thác bằng chứng khái niệm (PoC) đã được Kheirkhah phát hành.

Shadowserver Foundation cho biết họ đã quan sát thấy các nỗ lực khai thác lỗ hổng này kể từ ngày 1 tháng 8 năm 2024. "Bắt đầu từ ngày 1 tháng 8, chúng tôi thấy /NmAPI/RecurringReport CVE-2024-4885 các nỗ lực gọi lại khai thác (cho đến nay là 6 src IP)", tổ chức này cho biết trong một báo cáo. đăng trên X.

Phiên bản WhatsUp Gold 2023.1.3 xử lý hai lỗ hổng nghiêm trọng khác CVE-2024-4883 và CVE-2024-4884 (điểm CVSS: 9,8), cả hai lỗ hổng này cũng cho phép thực thi mã từ xa không được xác thực thông qua NmApi.exe và Apm.UI.Areas.APM.Controllers.CommunityController tương ứng.

Cũng được Progress Software giải quyết là vấn đề leo thang đặc quyền ở mức độ nghiêm trọng cao (CVE-2024-5009, điểm CVSS: 8.4) cho phép kẻ tấn công cục bộ nâng cao đặc quyền của chúng đối với các cài đặt bị ảnh hưởng bằng cách lợi dụng phương pháp SetAdminPassword.

Với các lỗ hổng trong Progress Software thường xuyên bị các tác nhân đe dọa lạm dụng vì mục đích xấu, quản trị viên phải áp dụng các bản cập nhật bảo mật mới nhất và chỉ cho phép lưu lượng truy cập từ các địa chỉ IP đáng tin cậy để giảm thiểu các mối đe dọa tiềm ẩn.