Progress Software 的企业网络监控和管理解决方案 WhatsUp Gold 中存在的严重漏洞可能会使系统遭受全面攻击。
WhatsUp Gold 提供对设备、应用程序、服务器和流量的可视性,允许组织监控其云和本地基础设施,使其成为企业环境的关键组成部分。
本周,Censys 表示,它发现互联网上存在超过 1,200 个 WhatsUp Gold 实例可访问,并警告称其中许多实例可能受到最近披露的严重级别漏洞的影响,针对该漏洞的概念验证 (PoC) 代码已发布。
该漏洞编号为CVE-2024-4885(CVSS 评分为 9.8),可能允许远程、未经身份验证的攻击者在受影响的 WhatsUp Gold 实例上执行任意代码。
据 4 月份发现并报告此漏洞的Summoning Team 称,CVE-2024-4885 存在的原因是 WhatsUp Gold 对 GetFileWithoutZip 方法的实现没有正确验证用户输入。
该远程代码执行 (RCE) 漏洞已于 5 月份随着 WhatsUp Gold 版本 23.1.3 的发布而得到解决,此外还解决了其他三个严重漏洞和多个高严重性错误。
在 6 月份的一份公告中,Progress Software 警告称 WhatsUp Gold 23.1.2 之前的版本存在漏洞,并敦促客户尽快升级到修补版本。
Progress 警告称:“这些漏洞可能会让客户遭受攻击。虽然我们尚未发现已知漏洞的证据,但您的系统可能会受到攻击,包括未经授权访问根帐户。”
8 月中旬,该软件制造商宣布对 WhatsUp Gold 进行另一个安全更新,即版本 24.0.0,该更新解决了另外两个严重程度的错误,并再次敦促客户升级其安装。
不过升级过程可能并不简单。虽然客户可以将 WhatsUp Gold 20.0.2 及以上版本升级到 24.0.0,但之前的版本需要先升级到 20.0.2,这需要联系 Progress 客服获取安装文件。
WhatsUp Gold 有多个组件,Progress 建议将其安装在专用的、物理隔离的服务器上——该公司还建议使用强账户密码、仅将管理账户委托给受信任的用户,并应用安全最佳实践。
升级到新版本需要管理员登录 Progress 的客户门户,验证他们的许可证,下载最新的软件版本,安装它,然后重新启动服务器。
每次发布新的 WhatsUp Gold 版本时,手动执行升级的需求可能会阻止一些管理员执行该过程,并且 Censys 观察到的至少一些暴露在互联网上的实例很可能尚未针对 CVE-2024-4885 进行修补。
虽然没有关于此漏洞被主动利用的报告,但 PoC 代码的公开可用性以及之前 WhatsUp Gold 版本中存在的其他几个严重缺陷应该说服管理员尽快升级到最新版本。
转自军哥网络安全读报
暂无评论内容