Uma falha crítica de segurança que afeta o Progress Software program WhatsUp Gold está sofrendo tentativas ativas de exploração, tornando essencial que os usuários ajam rapidamente para aplicar as últimas novidades.
A vulnerabilidade em questão é CVE-2024-4885 (pontuação CVSS: 9,8), um bug de execução remota de código não autenticado que afeta versões do aplicativo de monitoramento de rede lançadas antes de 2023.1.3.
“O WhatsUp.ExportUtilities.Export.GetFileWithoutZip permite a execução de comandos com privilégios iisapppoolnmconsole”, disse a empresa em um comunicado divulgado no remaining de junho de 2024.
De acordo com a pesquisadora de segurança Sina Kheirkhah, da Summoning Staff, a falha reside na implementação do método GetFileWithoutZip, que não realiza a validação adequada dos caminhos fornecidos pelo usuário antes de seu uso.
Um invasor pode tirar vantagem desse comportamento para executar código no contexto da conta de serviço. Um exploit de prova de conceito (PoC) foi lançado por Kheirkhah.
A Shadowserver Basis disse que observou tentativas de exploração da falha desde 1º de agosto de 2024. “A partir de 1º de agosto, vemos tentativas de retorno de exploração /NmAPI/RecurringReport CVE-2024-4885 (até agora, 6 IPs de origem)”, disse em uma publicação no X.
A versão 2023.1.3 do WhatsUp Gold corrige mais duas falhas críticas, CVE-2024-4883 e CVE-2024-4884 (pontuações CVSS: 9,8), ambas as quais também permitem a execução remota de código não autenticado por meio de NmApi.exe e Apm.UI.Areas.APM.Controllers.CommunityController, respectivamente.
A Progress Software program também abordou um problema de escalonamento de privilégios de alta gravidade (CVE-2024-5009, pontuação CVSS: 8,4) que permite que invasores locais elevem seus privilégios em instalações afetadas aproveitando o método SetAdminPassword.
Com falhas no Progress Software program sendo regularmente exploradas por agentes de ameaças para fins maliciosos, é essencial que os administradores apliquem as atualizações de segurança mais recentes e permitam tráfego apenas de endereços IP confiáveis para mitigar ameaças potenciais.
