Критични уязвимости в решението за мониторинг и управление на корпоративни мрежи WhatsUp Gold на Progress Software могат да изложат системите на пълен пробив.
Предлагайки видимост на устройства, приложения, сървъри и трафик, WhatsUp Gold позволява на организациите да наблюдават своята облачна и локална инфраструктура, което го превръща в критичен компонент на корпоративните среди.
Тази седмица Censys съобщи, че е видяла над 1200 инстанции на WhatsUp Gold, достъпни от интернет, като предупреди, че много от тях може да са засегнати от наскоро разкрит недостатък с критична сериозност, за който е публикуван код за доказване на концепцията (PoC).
Проблемът, проследен като CVE-2024-4885 (CVSS оценка 9,8), може да позволи на отдалечени, неавтентифицирани нападатели да изпълнят произволен код на засегнатите инстанции на WhatsUp Gold.
Според екипа Summoning, който откри и докладва за грешката през април, CVE-2024-4885 съществува, защото изпълнението на метода GetFileWithoutZip на WhatsUp Gold не валидира правилно потребителския вход.
Уязвимостта за отдалечено изпълнение на код (RCE) беше отстранена през май с пускането на WhatsUp Gold версия 23.1.3, която разреши три други уязвимости с критична сериозност и множество грешки с висока сериозност.
В консултативна публикация от юни Progress Software предупреди, че версиите на WhatsUp Gold до 23.1.2 са уязвими, като призова клиентите да преминат към поправена итерация възможно най-скоро.
„Тези уязвимости могат да изложат клиентите на експлоатация. Въпреки че не сме видели доказателства за известна експлойт, вашата система(и) може да бъде компрометирана(и) – включително неоторизиран достъп до root акаунт“, предупреждава Progress.
В средата на август производителят на софтуер обяви друга актуализация на сигурността за WhatsUp Gold, а именно версия 24.0.0, която разрешава други два бъга с критична сериозност, като отново призова клиентите да обновят инсталациите си.
Процесът на обновяване обаче може да не е лесен. Макар че клиентите могат да надградят WhatsUp Gold версии 20.0.2 и по-нови до 24.0.0, предишните итерации трябва първо да бъдат надградени до 20.0.2, което изисква да се свържете със службата за обслужване на клиенти на Progress, за да получите инсталационен файл.
WhatsUp Gold се състои от множество компоненти, които Progress препоръчва да се инсталират на специален, физически изолиран сървър – компанията също така препоръчва да се използват силни пароли за акаунти, административните акаунти да се поверяват само на доверени потребители и да се прилагат най-добрите практики за сигурност.
Актуализацията до нова версия изисква от администраторите да влязат в клиентския портал на Progress, да потвърдят лиценза си, да изтеглят последната итерация на софтуера, да я инсталират и след това да рестартират сървъра.
Необходимостта от ръчно извършване на обновяването може да възпре някои администратори да преминат през този процес всеки път, когато излезе нова итерация на WhatsUp Gold, и е много вероятно поне някои от експонираните в интернет случаи, наблюдавани от Censys, да не са били закърпени срещу CVE-2024-4885.
Въпреки че няма съобщения за активно експлоатиране на тази уязвимост, публичната наличност на PoC код и съществуването на няколко други недостатъка с критична сериозност в предишни итерации на WhatsUp Gold трябва да убедят администраторите да преминат към най-новата версия възможно най-скоро
