Progress WhatsUp の RCE 脆弱性 CVE-2024-4885:PoC の提供と活発な悪用

Critical Progress WhatsUp RCE flaw now under active exploitation

2024/08/07 BleepingComputer — Progress WhatsUp Gold において、前日に修正されたリモートコード実行の脆弱性を悪用し、企業ネットワークへのイニシャル・アクセスを試みるという脅威が発生している。これらの攻撃で悪用される脆弱性 CVE-2024-4885 (CVSS:9.8)は、Progress WhatsUp Gold バージョン 23.1.2 以下に影響を与え、認証を必要としないモートコード実行を引き起こす。


WhatsUp Gold の脆弱性 CVE-2024-4885 に関しては、”/NmAPI/RecurringReport” エンドポイントを標的とする PoC が、すでに公開されている。脅威監視組織 Shadowserver Foundation の報告によると、この不正アクセスの試みは 2024年8月1日 に開始され、また6件の IP アドレスから発信されているという。

Tweet
CVE-2024-4885 の RCE

Progress WhatsUp Gold はネットワーク・モニタリング・アプリケーションであり、サーバおよび関連するサービスの稼働時間や可用性を追跡するものだ。しかし、他のソフトウェアと同様に、本質的に内部で利用するものであり、外部からの接続に関しては、VPN 経由もしくは信頼できる IP アドレス経由を介したアクセスに限定する必要がある。

2024年6月25日に Progress は、15件の深刻なバグについて警告するセキュリティ情報をリリースしたが、その中に、クリティカルな RCE の脆弱性 CVE-2024-4885 (CVSS:9.8) が含まれていた。すでに Progress は、最新バージョン 23.1.3 をリースしており、ユーザーに対して迅速にアップグレードし、脆弱性を解決するよう促している。

この脆弱性 CVE-2024-4885 は、”WhatsUp.ExportUtilities.Export.GetFileWithoutZip” に存在するリモートコード実行の欠陥である。GetFileWithoutZip 関数にリモートコード実行の欠陥があるため、未認証の攻撃者であっても、”iisapppool\nmconsole” ユーザーの権限でコマンド実行が可能になってしまう。

このユーザーは管理者ではないが、WhatsUp Gold のコンテキスト内では昇格した権限を持っている。したがって、サーバ上でのコード実行や、基盤となるシステムへのアクセスが可能となっている。

ただちにバージョン 23.1.3 へのアップグレードが不可能な場合には、”/NmAPI/RecurringReport” エンドポイントにおける悪用の試みを監視し、ポート 9642 および 9643 の信頼できる IP アドレスのみに、アクセスを制限するファイアウォール・ルールを実装することが、ベンダーから推奨されている。

この脆弱性は、セキュリティ研究者である Sina Kheirkhah により発見された。そして、彼は、PoC エクスプロイトを含む詳細な技術的記述を、自身のブログで公開している。

このエクスプロイトは、公開されている WhatsUp Gold のレポート・エンドポイントへ向けて、特別に細工されたコンフィグを取り込んだ、”TestRecurringReport” リクエストを送信するものだ。このコンフィグには、攻撃者が制御する Web サーバを指す URL と、標的となるサーバが応答すべきユーザー ID が含まれている。

標的とされたサーバが、攻撃者のサーバに応答する際には、このユーザー ID に関連付けられたユーザー名と暗号化されたパスワードが取り込まれる。

Kheirkhah のエクスプロイトでは、この情報を使用して、標的となるサーバとの間でリクエストとレスポンスの送受信を繰り返し、最終的にサーバ上にファイルを書き込ませる。

Exploit


このエクスプロイトの最終的なペイロードは、攻撃者が制御するサーバから配信されるため、現時点においては、標的サーバ上に展開されるペイロードは不明である。しかし、過去に行われた同様の活動では、標的となったデバイス上にウェブシェルが作成され、アクセスや持続が容易になっていた。

この悪用は活発な状況にあるため、WhatsUp Gold の管理者にとって不可欠なことは、最新のアップデートまたは緩和策を適用し、不審な活動について継続的に監視することだ。

また、WhatsUp Gold サーバをファイアウォールの背後に置き、内部または信頼できる IP アドレスからのみのアクセスに限定する必要がある。

Progress WhatsUp Gold の脆弱性 CVE-2024-4885 などの、合計で 15件の脆弱性が FIX しました。一連の脆弱性については、同社のアドバイザリに列記されていますので、そちらも ご参照ください。よろしければ、Progress で検索も、ご利用ください。