WhatsUp Gold远程代码执行漏洞CVE​​-2024-8785

WhatsUp Gold是美国Progress Software公司开发的一款网络监控软件，可以监控整个网络中的基础设施，迅速定位并解决网络中的问题。

WhatsUp Gold 采用全新的Web接口与技术，可轻松控管网络设备与应用服务，提高网络管理员的工作效率，从而维系企业运作不会中断。

一、基本情况

WhatsUp Gold 可主动监控所有关键网络设备与应用服务，协助管理员了解网络效能与可用性的实际状况，减少影响业务运作的停机问题。

Progress WhatsUp Gold 操作容易、快速部署、扩充性强，用户可直观操作和整合系统资源，迅速查找和维修网络基础架构中存在的问题。

栋科技漏洞库关注到 Progress WhatsUp Gold 中存在一个远程代码执行漏洞，漏洞被追踪为CVE-2024-8785，该漏洞的CVSS评分为9.8。

二、 漏洞分析

CVE-2024-8785是Progress Software WhatsUp Gold 2023.1.0-2024.0.1之前版本NmAPI.exe组件中存在的注册表覆盖远程代码执行漏洞。

该漏洞源于WhatsUp Gold 的NmAPI.exe的组件UpdateFailoverRegistryValues操作在处理输入数据时，缺乏对数据充分验证和授权检查。

这使得未经身份验证的远程攻击者可以通过调用位于net.tcp://<目标主机>:9643上的WCF服务接口，并向NmAPI.exe发送恶意构造的请求。

通过发送恶意构造请求，攻击者可创建或更改HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\注册版表现有注册表值。

通过发送恶意请求和修改注册表，攻击者可通过将InstallDir更改为指向其控制的UNC路径，比如\\<attacker-ip>\share\WhatsUp这个路径。

当系统或ServiceControlManager.exe服务重启时，就会直接从攻击者控制的路径加载恶意配置文件并执行攻击者指定的恶意可执行文件。

如此一来，攻击者就可以成功利用该漏洞绕过正常的安全机制，获得对受影响系统的完全控制权，那么可能造成的风险性自然不言而喻了。

因此而言，该漏洞可能导致远程代码执行，从而可能导致攻击者执行任意代码、窃取敏感信息、破坏系统功能或者是部署持久化恶意软件。

三、漏洞影响

2023.1.0 <= Progress Software WhatsUp Gold < 2024.0.1 

四、修复建议

Progress Software WhatsUp Gold >= 2024.0.1

五、参考链接

https://community.progress.com/s/article/WhatsUp-Gold-Security-Bulletin-September-2024