今年9月软件企业Progress发布24.0.1版网管软件WhatsUp Gold,修补6项漏洞,其中有2项CVE-2024-8785、CVE-2024-46909为重大层级,但当时该公司仅列出CVE编号、通报者,以及漏洞的风险评分,并未对漏洞进一步说明,如今通报漏洞的研究人员透露CVE-2024-8785的细节。
CVE-2024-8785是由安全企业Tenable通报,他们在12月2日公开这个严重程度为9.8分的漏洞,发生在名为NmAPI.exe的组件,为能够篡改Windows机码的远程程序代码执行(RCE)漏洞,未经授权的攻击者有机会利用这项弱点,于目标系统远程执行任意程序代码。
对于漏洞滥用的概念性验证做法,研究人员也提出说明,帮助大家理解这项漏洞的严重性。他们指出,攻击者可通过netTcpBinding调用UpdateFailoverRegistryValues工作,从而对HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\的机码进行篡改数值,或是添加机码。
附带一提的是,攻击者也能篡改HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\Network Monitor\WhatsUp Gold\Setup\InstallDir机码,将其指向攻击者控制的主机。
一旦Ipswitch Service Control Manager(ServiceControlManager.exe)服务重新启动,WhatsUp Gold就会从攻击者的服务器读取特定的manifest文件,并经由ServiceControlManager.exe启动。此时攻击者便能在特定XML文件加入恶意程序执行文件,从而在WhatsUp Gold加载、运行。
