Une faille de sécurité critique affectant Progress Software WhatsUp Gold fait l’objet de tentatives d’exploitation actives, ce qui rend essentiel que les utilisateurs agissent rapidement pour appliquer la dernière version.
La vulnérabilité en question est CVE-2024-4885 (Score CVSS : 9,8), un bogue d’exécution de code à distance non authentifié affectant les versions de l’application de surveillance réseau publiées avant 2023.1.3.
« WhatsUp.ExportUtilities.Export.GetFileWithoutZip permet l’exécution de commandes avec les privilèges iisapppool\nmconsole », a déclaré la société dit dans un avis publié fin juin 2024.
Selon le chercheur en sécurité Sina Kheirkhah de la Summoning Team, la faille réside dans l’implémentation de la méthode GetFileWithoutZip, qui ne parvient pas à effectuer une validation adéquate des chemins fournis par l’utilisateur avant son utilisation.
Un attaquant pourrait exploiter ce comportement pour exécuter du code dans le contexte du compte de service. Un exploit de preuve de concept (PoC) a depuis été publié par Kheirkhah.
La Shadowserver Foundation a déclaré avoir observé des tentatives d’exploitation contre la faille depuis le 1er août 2024. « À partir du 1er août, nous voyons des tentatives de rappel d’exploitation /NmAPI/RecurringReport CVE-2024-4885 (jusqu’à présent 6 IP source) », a-t-il déclaré. dit dans un post sur X.
La version 2023.1.3 de WhatsUp Gold corrige deux autres failles critiques CVE-2024-4883 et CVE-2024-4884 (scores CVSS : 9,8), qui permettent tous deux également l’exécution de code à distance non authentifié via NmApi.exe et Apm.UI.Areas.APM.Controllers.CommunityController, respectivement.
Progress Software s’attaque également à un problème d’escalade de privilèges de haute gravité (CVE-2024-5009Score CVSS : 8,4) qui permet aux attaquants locaux d’élever leurs privilèges sur les installations affectées en tirant parti de la méthode SetAdminPassword.
Les failles du logiciel Progress étant régulièrement exploitées par des acteurs malveillants à des fins malveillantes, il est essentiel que les administrateurs appliquent les dernières mises à jour de sécurité et autorisent le trafic uniquement à partir d’adresses IP fiables afin d’atténuer les menaces potentielles.