WhatsUp Gold è un software di monitoraggio delle prestazioni e dell’attendibilità delle reti, utilizzato da molte organizzazioni per garantire la stabilità e la sicurezza dei loro sistemi. Tuttavia, come molti altri software, è vulnerabile a diverse minacce di sicurezza, tra cui vulnerabilità remote code execution (RCE) che possono essere sfruttate dai hacker per ottenere accesso non autorizzato ai sistemi. In questo articolo, esploreremo l’ultima vulnerabilità RCE critica di WhatsUp Gold, come sfruttarla e come proteggersi da essa.
La Vulnerabilità CVE-2024-8785
La vulnerabilità critica CVE-2024-8785 è stata scoperta da Tenable in agosto 2024 e riguarda il processo NmAPI.exe di WhatsUp Gold, che è utilizzato per fornire un’interfaccia API di gestione delle reti. Questo processo ascolta e elabora le richieste in arrivo, ma non effettua una sufficiente validazione degli input, permettendo agli attaccanti di inviare richieste specialmente craftate per modificare o sovrascrivere chiavi registry sensibili.
Come Funziona l’Attacco
L’attacco si basa sulla capacità di un attaccante non autenticato di inviare una richiesta speciale al processo NmAPI.exe tramite un binding TCP net. Questa richiesta può essere inviata alla porta 9643, che è comunemente utilizzata da WhatsUp Gold. L’operazione UpdateFailoverRegistryValues può essere utilizzata per modificare o creare nuove chiavi registry sotto la directory HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\Network Monitor\WhatsUp Gold\Setup\InstallDir. In particolare, un attaccante può modificare questa chiave per puntare a una condivisione remota controllata dall’attaccante, ad esempio \\<attacker-ip>\share\WhatsUp.
Quando il servizio Ipswitch Service Control Manager si riavvia, leggerà le configurazioni dai file remoti controllati dall’attaccante, permettendo l’esecuzione di qualsiasi eseguibile remoto desiderato dall’attaccante. Questo scenario non solo rappresenta un rischio evidente per la sicurezza, ma anche una forma di persistenza avanzata, come ad esempio la modifica delle chiavi di avvio per eseguire codice malizioso al riavvio del sistema.
Suggerimenti e Consigli per la Protezione
Per proteggersi da questa vulnerabilità, è essenziale aggiornare WhatsUp Gold alla versione 24.0.1, che include le patch per CVE-2024-8785 e altre cinque vulnerabilità. Ecco alcuni suggerimenti specifici:
- Aggiornamento Rapido
- Download e Installazione: Scarica l’installer di WhatsUp Gold 24.0.1 e eseguilo sui server vulnerabili. Segui le istruzioni per completare l’aggiornamento.
- Monitoraggio delle Richieste
- Endpoint ‘/NmAPI/RecurringReport’: Monitora le richieste al endpoint ‘/NmAPI/RecurringReport’ per identificare eventuali attacchi.
- Regole del Firewall
- Restrizioni di Accesso: Implementa regole del firewall per limitare l’accesso ai porti 9642 e 9643 solo a indirizzi IP fidati.
- Controllo delle Configurazioni
- Chiavi Registry: Verifica regolarmente le chiavi registry per assicurarti che non siano state modificate in modo anomalo.
- Pianificazione di Backup
- Backup Regolare: Assicurati di avere backup regolari dei dati importanti per poter ripristinare il sistema in caso di attacco.
- Formazione e Consapevolezza
- Formazione degli Amministratori: Assicurati che gli amministratori siano formati sulla gestione delle vulnerabilità e sulle misure di sicurezza.
La vulnerabilità CVE-2024-8785 rappresenta una minaccia critica per WhatsUp Gold, ma l’aggiornamento alla versione 24.0.1 può proteggere i sistemi da questa e altre vulnerabilità. È fondamentale mantenere una buona pratica di gestione delle vulnerabilità, monitorare regolarmente le attività del sistema e implementare misure di sicurezza aggiuntive per prevenire attacchi. Inoltre, la formazione degli amministratori e la pianificazione di backup regolari possono aiutare a minimizzare gli effetti di un attacco.
