WhatsUp Gold: как один JSON может обрушить всю корпоративную сеть

В программном обеспечении WhatsUp Gold от компании Progress была выявлена уязвимость, позволяющая злоумышленникам выполнять произвольный код на сервере без необходимости аутентификации, что ставит под угрозу безопасность сетей и устройств, управляемых данной программой.

Обозначенная как CVE-2024-4885, уязвимость связана с проблемой обхода пути и позволяет злоумышленникам получить полный контроль над сервером. О проблеме было сообщено компании Progress 24 апреля 2024 года, а 3 июля 2024 года Zero Day Initiative ( ZDI ) опубликовала соответствующее уведомление.

WhatsUp Gold от Progress — это популярный инструмент для мониторинга состояния и производительности приложений, сетевых устройств и серверов как в облаке, так и на локальных машинах. Программа также позволяет удалённо управлять устройствами, используя сохранённые учётные данные, что делает её крайне важной для многих организаций.

Основная проблема связана с процессом NmApi.exe, который слушает порты 9642 и 9643 и использует .NET-службы WCF. В конфигурации службы отсутствуют настройки безопасности для binding типа basicHttpBinding, что и позволяет злоумышленникам взаимодействовать с WCF без аутентификации. Это открывает дверь для выполнения произвольного кода на сервере.

Чтобы использовать уязвимость, злоумышленнику необходимо отправить специально сформированный JSON на уязвимый сервер. Этот JSON позволяет злоумышленнику управлять процессом генерации отчётов и внедрять вредоносный код. Например, можно направить запрос на удалённый сервер, который вернёт вредоносный ответ, содержащий зловредный код. В итоге, злоумышленник может создать файл на сервере с произвольным содержимым и выполнить его.

В случае успешной эксплуатации уязвимости злоумышленник может получить полный контроль над всеми устройствами, подключенными к WhatsUp Gold, включая серверы, сетевые устройства и рабочие станции. Возможные последствия включают утечку данных, изменение конфигураций, отключение сервисов и другие серьёзные нарушения.

Компания Progress оперативно отреагировала на сообщение об уязвимости и выпустила обновление, устраняющее проблему. Пользователям настоятельно рекомендуется немедленно обновить WhatsUp Gold до последней версии. Дополнительно следует усилить настройки безопасности WCF и регулярно проверять систему на наличие подозрительной активности.

CVE-2024-4885 представляет серьёзную угрозу для безопасности сетей и устройств, управляемых WhatsUp Gold. Немедленные действия по обновлению и усилению безопасности помогут защитить системы от потенциальных атак и сохранить данные в безопасности.

Уязвимости такого рода подчёркивают важность постоянного мониторинга и обновления программного обеспечения. Организации должны быть готовы к быстрому реагированию на угрозы и иметь в наличии план действий на случай подобных инцидентов.