Aktor ancaman secara aktif berupaya mengeksploitasi kerentanan eksekusi kode jarak jauh Progress WhatsUp Gold yang baru saja diperbaiki pada server yang terekspos untuk akses awal ke jaringan perusahaan.
Kerentanan yang dimanfaatkan dalam serangan ini adalah CVE-2024-4885kelemahan eksekusi kode jarak jauh yang tidak diautentikasi dengan tingkat keparahan kritis (skor CVSS v3: 9.8) yang memengaruhi Progress WhatsUp Gold 23.1.2 dan yang lebih lama.
Eksploitasi bukti konsep (PoC) untuk CVE-2024-4885 tersedia untuk umum yang menargetkan titik akhir WhatsUp Gold ‘/NmAPI/RecurringReport’ yang terekspos.
Organisasi pemantau ancaman Shadowserver Foundation melaporkan bahwa upaya tersebut dimulai pada 1 Agustus 2024, yang berasal dari enam alamat IP berbeda.
CVE-2024-4885 RCE adalah singkatan dari CVE-2024-4885 RCE.
Progress WhatsUp Gold adalah aplikasi pemantauan jaringan yang memungkinkan Anda melacak waktu aktif dan ketersediaan server serta layanan yang berjalan di dalamnya. Namun, seperti perangkat lunak lainnya, aplikasi ini hanya dapat diakses secara internal, melalui VPN, atau melalui alamat IP tepercaya.
Pada tanggal 25 Juni 2024, Kemajuan merilis buletin keamanan peringatan tentang lima belas bug tingkat tinggi dan kritis, termasuk CVE-2024-4885, kelemahan RCE kritis dengan peringkat 9,8. Progress mendesak pengguna untuk memperbarui ke versi terbaru, 23.1.3, untuk mengatasi kerentanan tersebut.
CVE-2024-4885 adalah kelemahan eksekusi kode jarak jauh dalam fungsi ‘WhatsUp.ExportUtilities.Export.GetFileWithoutZip’, yang memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi perintah dengan hak istimewa pengguna ‘iisapppool\nmconsole’.
Ini bukan pengguna admin tetapi masih memiliki izin yang lebih tinggi dalam konteks WhatsUp Gold. Ia dapat mengeksekusi kode di server dan bahkan mengakses sistem yang mendasarinya.
Rekomendasi vendor bagi mereka yang tidak dapat memutakhirkan ke 23.1.3 adalah memantau upaya eksploitasi pada titik akhir ‘/NmAPI/RecurringReport’ dan menerapkan aturan firewall untuk membatasi akses hanya ke alamat IP tepercaya pada port 9642 dan 9643.
Cacat tersebut ditemukan oleh peneliti keamanan Sina Kheirkhahyang menerbitkan sebuah laporan rinci tulisan teknis di blognyatermasuk eksploitasi bukti konsep.
Eksploitasi tersebut mengirimkan permintaan ‘TestRecurringReport’ ke titik akhir pelaporan WhatsUp Gold yang terekspos yang berisi konfigurasi yang dibuat secara khusus. Konfigurasi ini mencakup URL ke server web yang dikendalikan penyerang dan ID pengguna yang harus direspons oleh server target.
Saat server yang ditargetkan merespons server penyerang, server tersebut akan menyertakan nama pengguna dan kata sandi terenkripsi yang dikaitkan dengan ID pengguna.
Eksploitasi Kheirkhah menggunakan informasi ini untuk membuat dan menerima permintaan dan respons lebih lanjut dengan server yang ditargetkan untuk akhirnya menyebabkan file ditulis di server, yang kemudian diluncurkan dari jarak jauh untuk eksekusi kode, seperti yang diilustrasikan di bawah ini.
Karena muatan akhir dalam eksploitasi tersebut dikirim dari server yang dikendalikan penyerang, saat ini tidak diketahui muatan apa yang dibuat pada server yang menjadi target. Namun, aktivitas serupa di masa lalu membuat webshell pada perangkat yang menjadi target untuk memudahkan akses dan persistensi.
Mengingat status eksploitasi aktif, admin WhatsUp Gold harus menerapkan pembaruan keamanan atau mitigasi terbaru dan terus memantau aktivitas yang mencurigakan.
Server WhatsUp Gold juga harus ditempatkan di belakang firewall dan hanya dapat diakses secara internal atau melalui alamat IP tepercaya.
