Falha crítica no WhatsUp RCE sob exploração ativa

A vulnerabilidade utilizada nesses ataques é a CVE-2024-4885 , uma falha de execução remota de código não autenticada de gravidade crítica (pontuação CVSS v3: 9,8) que afeta o Progress WhatsUp Gold 23.1.2 e versões anteriores.

Explorações de prova de conceito (PoC) para CVE-2024-4885 estão disponíveis publicamente e têm como alvo endpoints expostos do WhatsUp Gold ‘/NmAPI/RecurringReport’.

A organização de monitoramento de ameaças Shadowserver Foundation relata que as tentativas começaram em 1º de agosto de 2024, provenientes de seis endereços IP distintos.

O CVE-2024-4885 RCE

Progress WhatsUp Gold é um aplicativo de monitoramento de rede que permite que você rastreie o tempo de atividade e a disponibilidade de servidores e serviços em execução neles. No entanto, como qualquer software, ele só deve ser acessível internamente, por meio de uma VPN ou por meio de endereços IP confiáveis.

Em 25 de junho de 2024, a Progress lançou um boletim de segurança alertando sobre quinze bugs de alta e crítica gravidade, incluindo CVE-2024-4885, uma falha RCE crítica com classificação 9.8. A Progress pediu aos usuários que atualizassem para a versão mais recente, 23.1.3, para resolver as vulnerabilidades.

CVE-2024-4885 é uma falha de execução remota de código na função ‘WhatsUp.ExportUtilities.Export. GetFileWithoutZip’, permitindo que invasores não autenticados executem comandos com os privilégios do usuário ‘iisapppool\\nmconsole’.

Este não é um usuário administrador, mas ainda tem permissões elevadas dentro do contexto do WhatsUp Gold. Ele pode executar código no servidor e até mesmo acessar o sistema subjacente.

As recomendações do fornecedor para aqueles que não conseguiram atualizar para a versão 23.1.3 foram monitorar tentativas de exploração no endpoint ‘/NmAPI/RecurringReport’ e implementar regras de firewall para restringir o acesso a ele apenas a endereços IP confiáveis ​​nas portas 9642 e 9643.

A falha foi descoberta pelo pesquisador de segurança Sina Kheirkhah , que publicou um artigo técnico detalhado em seu blog , incluindo uma exploração de prova de conceito.

O exploit envia uma solicitação ‘TestRecurringReport’ para um endpoint de relatórios WhatsUp Gold exposto que contém uma configuração especialmente criada. Essa configuração inclui a URL para um servidor web controlado pelo invasor e o ID do usuário com o qual o servidor alvo deve responder.

Quando o servidor alvo responde ao servidor do invasor, ele inclui o nome de usuário e a senha criptografada associados ao ID do usuário.

O exploit de Kheirkhah usa essas informações para fazer e receber mais solicitações e respostas com o servidor alvo para, por fim, fazer com que um arquivo seja gravado no servidor, que é então iniciado remotamente para execução de código, conforme ilustrado abaixo.

Como o payload final no exploit é entregue a partir de servidores controlados pelo invasor, não se sabe neste momento quais payloads estão sendo criados nos servidores alvos. No entanto, atividades semelhantes no passado criaram webshells nos dispositivos alvos para acesso e persistência mais fáceis.

Dado o status de exploração ativa, os administradores do WhatsUp Gold devem aplicar as últimas atualizações de segurança ou mitigações e continuar monitorando atividades suspeitas.

O servidor WhatsUp Gold também deve ser colocado atrás de um firewall e acessível apenas internamente ou por endereços IP confiáveis.