Tenable的最新漏洞分析揭露了WhatsUp Gold 24.0.1之前版本中的一个严重缺陷,CVE-2024-8785。该漏洞的CVSS评分高达9.8,未经身份验证的远程攻击者可以利用NmAPI.exe中的注册表重写漏洞实现远程代码执行(RCE)。
NmAPI.exe是一个Windows通信基础(WCF)应用程序,是此次漏洞的核心。它实现了UpdateFailoverRegistryValues操作,允许更新特定的注册表值。然而,Tenable的报告强调了这一重大缺陷:“未经身份验证的远程攻击者可以通过netTcpBinding在net.tcp://<目标主机>:9643上调用UpdateFailoverRegistryValues操作。”
该操作允许攻击者修改HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\下的注册表路径,包括InstallDir路径。通过将路径重定向到攻击者控制的网络共享,例如\<攻击者ip>\share\WhatsUp,他们可以在Ipswitch服务控制管理器服务重启时利用该服务。
当Ipswitch服务控制管理器服务重启时——通常在系统重启或更新后——它会从攻击者控制的主机读取像WhatsUpPlatform-PluginManifest.xml这样的清单文件。攻击者可以操纵这些清单文件以注入恶意进程。例如,正如Tenable所描述的,“攻击者可以在WhatsUpPlatform-PluginManifest.xml中添加一个<ServerProcess>元素来启动一个攻击者控制的可执行文件。”
通过这样做,攻击者获得了以系统权限执行任意代码的能力,从而完全控制了目标系统。
CVE-2024-8785的后果是严重的:
攻击者可以在不需要身份验证的情况下完全控制系统。
被攻陷的系统可能成为更广泛网络渗透的入口点。
依赖受影响版本WhatsUp Gold的组织面临重大的运营和安全风险。
Progress已经在WhatsUp Gold 24.0.1版本中解决了这个漏洞。强烈建议用户立即升级,以减轻风险。
文章原文链接:https://www.anquanke.com/post/id/302490