WhatsUp Gold の RCE 脆弱性 CVE-2024-8785：PoC エクスプロイトが提供

Exploit released for critical WhatsUp Gold RCE flaw, patch now

2024/12/03 BleepingComputer — Progress WhatsUp Gold に存在する、深刻な RCE 脆弱性 CVE-2024-8785 (CVSS v3.1：9.8) に対する、PoC エクスプロイト・コードが公開された。ユーザーに対して推奨されるのは、最新のセキュリティ・アップデートを、可能な限り早急にインストールすることだ。この脆弱性は、WhatsUp Gold  2023.1.0〜24.0.1 未満の NmAPI.exe プロセスに存在するものであり、2024年8月中旬の時点で Tenable により発見されたものだ。

Windows レジストリの操作

WhatsUp Gold が起動すると、NmAPI.exe はネットワーク管理 API インターフェイスを提供し、受信リクエストをリッスンして処理する。この、受信データの不十分な検証を悪用する攻撃者は、WhatsUp Gold コンフィグ・ファイルが読み込まれる場所を制御する、重要な Windows レジストリ・キーの変更／上書を指示する、リクエスト送信の可能性を得る。

Tenable の記事には、「未認証のリモート攻撃者であっても、”net.tcp://<target-host>:9643″ の netTcpBinding 経由で、UpdateFailoverRegistryValues 操作を呼び出すことができる。UpdateFailoverRegistryValues を操作する攻撃者は、”HKEY_LOCAL_MACHINE¥SOFTWARE¥WOW6432Node¥Ipswitch” 配下の任意のレジストリ・パスにおいて、既存のレジストリ値の変更や、新しい値の作成を可能にする。具体的に言うと、 “HKEY_LOCAL_MACHINE¥SOFTWARE¥WOW6432Node¥Ipswitch¥Network Monitor¥WhatsUp Gold¥Setup¥InstallDir” を、攻撃者が制御するホストを指し示す UNC パス (例：\\<attacker-ip>¥share¥WhatsUp) へと変更できる」と記されている。

その後に、Ipswitch Service Control Manager サービスが再起動すると、攻撃者が制御するリモート共有から、さまざまなコンフィグ・ファイルが読み込まれることになる。それにより攻撃者は、脆弱な WhatsUp Gold システム上で、任意のリモート実行ファイルを起動できるようになる。

この、システム・レジストリの変更に関する技術は、攻撃者に対して十分な持続性を与える。たとえば、システムの起動時に悪意のコードが実行されるように、スタートアップ・キーに変更を加えることも可能になる。

脆弱性 CVE-2024-8785 の悪用において認証は不要であり、また、NmAPI.exe サービスはネットワーク経由でアクセスできるため、そのリスクは深刻なものとなる。

ただちにアップデートを！

すでに Progress Software は、CVE-2024-8785 を含む６つの脆弱性に対応するセキュリティ・アップデートを、2024年9月24日の時点でリリースしている。WhatsUp Gold のユーザーに推奨されるのは、Progress が提供するインストール手順に従い、可能な限り早急に、バージョン 24.0.1 へとアップグレードすることだ。

最近の WhatsUp Gold は、再びハッカーの標的となりつつある。ハッカーたちは、公開されているエクスプロイトを利用して、脆弱なエンドポイントを攻撃していく。

その一例として挙げられるのは、８月初旬に報告されたインシデントにおいて、WhatsUp Gold の深刻な RCE 脆弱性 CVE-2024-4885 の PoC を悪用する脅威アクターが、企業ネットワークに対するイニシャル・アクセスを試みたことだ。

さらに９月には、WhatsUp Gold の SQL インジェクションの脆弱性 CVE-2024-6670／CVE-2024-6671 の、PoC エクスプロイトを悪用する攻撃も確認されている。それらの PoC を悪用する攻撃者は、パスワードを入手することなく、管理者アカウントを乗っ取ることが可能になった。

こういった最近の動向を踏まえると、ユーザー組織にとって不可欠なことは、提供されているセキュリティ・アップデートの速やかな適用となる。

2024年8月の時点で、この脆弱性は Tenable により発見され、その後の Progress とのインタラクションを経て、9月になってからアップデートと PoC が提供されたようです。そして、12月に入って、この BleepingComputer の記事がポストされたということは、何らかの悪用の兆候が検出されたと見るべきなのでしょうか？ ご利用のチームは、ご注意ください。よろしければ、Progress WhatsUp Gold で検索も、ご参照ください。