针对WhatsUp Gold RCE严重漏洞的已被发现

Progress WhatsUp Gold 中一个严重远程代码执行漏洞的概念验证 (PoC) 漏洞已经发布，因此尽快安装最新的安全更新至关重要。
       该漏洞被编号为CVE-2024-8785（CVSS v3.1 评分：9.8分），由Tenable 在2024 年 8 月中旬发现。它存在于 WhatsUp Gold 2023.1.0 和 24.0.1 之前的版本中的 NmAPI.exe 进程中。
操作 Windows 注册表
       启动后，NmAPI.exe为WhatsUp Gold提供网络管理API接口，监听并处理传入的请求。
      由于对传入数据的验证不足，攻击者可以发送特制的请求来修改或覆盖控制 WhatsUp Gold 配置文件读取位置的敏感 Windows 注册表项。Tenable 的报告中写道：“未经身份验证的远程攻击者可以通过 netTcpBinding (net.tcp://<target-host>:9643) 调用 UpdateFailoverRegistryValues 操作。 通过 UpdateFailoverRegistryValues 操作，攻击者可以更改现有注册表值或为 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\ 下的任何注册表路径创建新注册表值。具体来说，攻击者可以将 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\Network Monitor\WhatsUp Gold\Setup\InstallDir 更改为指向攻击者控制的主机的 UNC 路径（即 \\<attacker-ip>\share\WhatsUp）。”
       下次 Ipswitch 服务控制管理器服务重新启动时，它将从攻击者控制的远程共享中读取各种配置文件，这些文件可用于在易受攻击的 WhatsUp Gold 系统上启动攻击者希望的任何远程可执行文件。
      除了这种情况产生的明显风险之外，修改系统注册表的能力还为攻击提供了出色的持久性能力，例如更改启动键以便在系统启动时执行恶意代码。
       利用 CVE-2024-8785 不需要身份验证，并且由于 NmAPI.exe 服务可通过网络访问，因此风险很大。
立即更新 WhatsUp Gold
       管理 WhatsUp Gold 部署的系统管理员应尽快升级到24.0.1版本 。Progress Software 在2024 年 9 月 24 日发布了针对 CVE-2024-8785 和其他五个漏洞的安全更新，并发布了相关公告，其中包含安装说明。
       WhatsUp Gold 最近再次成为黑客的攻击目标，威胁行为者利用公开的漏洞来攻击易受攻击的端点。8 月初，威胁行为者利用 WhatsUp Gold RCE 严重漏洞的公开 PoC获取公司网络的初步访问权限。9 月，黑客利用 WhatsUp Gold 中两个严重 SQL 注入漏洞的公开漏洞，使他们能够在不知道密码的情况下接管管理员帐户。
       鉴于近期威胁行为者利用 Progress Software 流行网络监控解决方案中的严重漏洞，必须及时应用可用的安全更新。