Software vulnerável

Exploit crítico no WhatsUp Gold exige atualização imediata

Falha crítica no WhatsUp Gold permite execução remota de código sem autenticação. Administradores devem aplicar as atualizações de segurança para evitar ataques.

WhatsUP Gold falha crítica

Um exploit de prova de conceito (PoC) para uma grave vulnerabilidade de execução remota de código (RCE) no Progress WhatsUp Gold foi divulgado, tornando essencial que administradores instalem as atualizações de segurança mais recentes sem demora.

Exploit crítico no WhatsUp Gold exige atualização imediata

Identificada como CVE-2024-8785, essa falha crítica possui pontuação 9.8 no CVSS v3.1 e foi descoberta pela Tenable em agosto de 2024. A vulnerabilidade afeta versões do WhatsUp Gold até 2023.1.0 e anteriores à 24.0.1.

O problema está relacionado ao processo NmAPI.exe, responsável por gerenciar a interface de API do software. A validação insuficiente de dados recebidos permite que invasores não autenticados enviem requisições maliciosas, manipulando registros críticos do Windows.

violacoes-de-seguranca-cibernetica-ignoradas

Como funciona o ataque

Os atacantes podem explorar a operação UpdateFailoverRegistryValues via conexão netTcpBinding no endereço net.tcp://<target-host>:9643. Com isso, conseguem alterar ou criar valores no registro em:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\

Por exemplo, eles podem redirecionar o valor InstallDir para um compartilhamento de rede UNC controlado pelo invasor, como \\<attacker-ip>\share\WhatsUp. Quando o serviço Ipswitch Service Control Manager é reiniciado, o software carrega arquivos de configuração do local comprometido, permitindo a execução de código remoto no sistema.

Esse tipo de ataque não apenas compromete o sistema, mas também oferece alta persistência, já que os invasores podem alterar chaves de inicialização para executar código malicioso automaticamente.

Riscos recentes e recomendações

Essa exploração, que não exige autenticação, coloca as redes corporativas em grande risco, especialmente porque o serviço NmAPI.exe é acessível pela rede.

A Progress Software lançou em 24 de setembro de 2024 atualizações para corrigir o CVE-2024-8785 e outras cinco vulnerabilidades, disponibilizando um boletim com instruções detalhadas de instalação. Administradores devem atualizar para a versão 24.0.1 imediatamente.

Nos últimos meses, o WhatsUp Gold tem sido alvo recorrente de ataques:

  • Agosto de 2024: hackers exploraram falhas RCE para obter acesso inicial às redes corporativas.
  • Setembro de 2024: foram usadas vulnerabilidades de injeção de SQL para controle de contas administrativas.

Considerando o histórico recente de explorações, é crucial priorizar a aplicação das correções disponíveis para proteger sua rede contra possíveis compromissos.

Acesse a versão completa
Sair da versão mobile