Critical Vulnerabilities Uncovered in Progress WhatsUp Gold (CVE-2024-6670 & CVE-2024-6671)
2024/08/22 SecurityOnline — 先日に Progress の WhatsUp Gold チームが公表したのは、バージョン 2024.0.0 未満に影響を及ぼす複数の深刻な脆弱性のアドバイザリである。それらの脆弱性 CVE-2024-6670/CVE-2024-6671/CVE-2024-6672 により、このネットワーク監視ツールの旧バージョンを使用している組織に深刻なリスクがもたらされる。現時点においては、積極的な悪用の報告は表面化していないが、その運用に深刻な影響が生じる可能性もあるため、すべてのユーザーにとって、システムを直ちにアップグレードすることが必須となっている。
いすでの脆弱性も、SQL インジェクションを引き起こす可能性があり、攻撃者による機密データへの不正にアクセスや、ネットワーク内での権限昇格にいたる恐れがある。
- CVE-2024-6670:CVSS 9.8:アプリケーションが1人のユーザーのみによりコンフィグされている場合に、この脆弱性の悪用に成功した未認証の攻撃者により、システムから暗号化されたパスワードが窃取される。その結果として、不正アクセスの可能性が高まるため、そのようなコンフィグ依存している組織にとって、重大な脅威となる。
- CVE-2024-6671:CVSS 9.8:この脆弱性もシングル・ユーザー・コンフィグをターゲットにするものであり、攻撃者は SQL インジェクションを引き起こすことで、暗号化されたパスワードを取得できる。 上記の CVE-2024-6670 との類似性が示唆するのは、組織によるユーザー・コンフィグの確認と、適切なパッチ適用の緊急性である。
- CVE-2024-6672:CVSS 8.8:この脆弱性の悪用に成功した、低権限かつ認証済みの攻撃者は、権限のあるユーザーのパスワードを変更することで、権限の昇格を達成する。この欠陥を悪用により、システムの不正な制御が可能となり、壊滅的な結果を招く恐れが生じる。
これらの脆弱性は、Summoning Team の Sina Kheirkhah と Trend Micro Zero Day Initiative が共同で発見/報告したものである。
Progress WhatsUp Gold ユーザーに対して強く推奨されるのは、最新バージョンである 2024.0.0 以降へと迅速にアップグレードし、これらのリスクを軽減することだ。
このアップグレードは、きわめて重要なものである。一般論として、脅威の状況が進化し続けるにつれて、古いソフトウェア・バージョンが、サイバー犯罪者たちの主要ターゲットになってきている。今月の初めに、WhatsUp Gold の別の脆弱性 CVE-2024-4885 を、脅威アクターたちが悪用しようと試みた事実が、パッチ未適用のシステムの潜在的な危険性を強調している。
Progress WhatsUp Gold に3件の脆弱性ですが、いずれも CVSS 値が高いですね。ご利用のチームは、最新バージョンのへのアップデートを お急ぎください。文中の末尾で指摘されているように、WhatsUp Gold の別の脆弱性 CVE-2024-4885 も危険な状態となっています。詳しくは、2024/08/07 の「Progress WhatsUp の RCE 脆弱性 CVE-2024-4885:PoC の提供と活発な悪用」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.