WhatsUp Gold: el registro de Windows abre las puertas al espionaje corporativo
Los administradores deben actualizarse urgentemente para evitar que la red caiga en manos de hackers.
Los especialistas de Tenable publicaron en la red un exploit PoC para una vulnerabilidad crítica en Progress WhatsUp Gold, que permite la ejecución remota de código en el dispositivo.
La vulnerabilidad RCE CVE-2024-8785 (puntuación CVSS: 9.8) está relacionada con una validación insuficiente de los datos y permite al atacante enviar solicitudes específicamente diseñadas para modificar o sobrescribir claves del registro de Windows responsables de las rutas a los archivos de configuración.
El error fue descubierto por Tenable a mediados de agosto de 2024. El problema afecta al proceso NmAPI.exe en las versiones de WhatsUp Gold desde la 2023.1.0 hasta la 24.0.1. NmAPI.exe proporciona una API para la gestión de redes, aceptando y procesando solicitudes entrantes. La explotación de este problema no requiere autorización, y la accesibilidad del servicio NmAPI.exe a través de la red aumenta los riesgos.
El exploit permite modificar valores existentes en el registro o crear nuevos en la sección HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch. Por ejemplo, la clave InstallDir puede ser redirigida a un recurso en la red controlado por el atacante, lo que permite descargar y ejecutar archivos maliciosos.
Después de reiniciar el servicio Ipswitch Service Control Manager, los archivos de configuración se leen desde el recurso remoto, abriendo la posibilidad de ejecutar código arbitrario en el sistema vulnerable. Además, la modificación del registro proporciona al hacker una forma de persistir en el sistema, por ejemplo, añadiendo código malicioso en el inicio automático.
A los administradores de sistemas que usan WhatsUp Gold se les recomienda actualizar la plataforma a la versión 24.0.1 de forma inmediata. Las actualizaciones de seguridad que corrigen esta y otras 5 vulnerabilidades fueron lanzadas por Progress Software el 24 de septiembre. El boletín adjunto incluye instrucciones para la instalación.
WhatsUp Gold no es la primera vez que se convierte en objetivo de ataques. En agosto de 2024, los hackers comenzaron a explotar activamente dos vulnerabilidades críticas para obtener control sobre las cuentas de administrador. Anteriormente, en WhatsUp Gold se identificó una vulnerabilidad que permitía a los atacantes ejecutar código arbitrario en el servidor sin necesidad de autenticación.