Shadowserver Foundation รายงานว่าพบกลุ่ม Hacker กำลังใช้ช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) บน Progress WhatsUp Gold Server เพื่อเข้าถึงเครือข่ายองค์กร โดยเริ่มพบการโจมตีในวันที่ 1 สิงหาคม 2024 โดยพบว่ามีการโจมตีจาก IP addresses ที่แตกต่างกัน 6 รายการ
Progress WhatsUp Gold เป็นแอปพลิเคชันตรวจสอบเครือข่ายที่ช่วยให้สามารถติดตามเวลาการทำงาน และความพร้อมใช้งานของเซิร์ฟเวอร์ และบริการที่ทำงานบนเครือข่ายนั้น จึงควรที่จะเข้าถึงได้จากภายในเท่านั้น ผ่าน VPN หรือ IP addresses ที่เชื่อถือได้
CVE-2024-4885 (คะแนน CVSS v3: 9.8 ความรุนแรงระดับ Critical) เป็นช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ในฟังก์ชัน 'WhatsUp.ExportUtilities.Export. GetFileWithoutZip' ซึ่งทำให้ Hacker ที่ไม่ผ่านการยืนยันตัวตนสามารถดำเนินการคำสั่งโดยใช้สิทธิ์ของผู้ใช้ 'iisapppool\nmconsole' ได้
แม้ว่าจะไม่ใช่ผู้ใช้งานที่เป็นผู้ดูแลระบบ แต่ยังคงมีสิทธิ์ระดับสูงของ WhatsUp Gold ทำให้สามารถรันโค้ดบนเซิร์ฟเวอร์ และเข้าถึงระบบพื้นฐานได้ด้วย
ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Progress WhatsUp Gold 23.1.2 และเวอร์ชันก่อนหน้า
ซึ่งปัจจุบันชุดสาธิตการโจมตี (Proof-of-concept - PoC) ของ CVE-2024-4885 ได้ถูกเปิดเผยออกมาแล้ว โดยเป็นการพยายามโจมตีไปยัง WhatsUp Gold '/NmAPI/RecurringReport' endpoint
การโจมตีช่องโหว่ CVE-2024-4885
เมื่อวันที่ 25 มิถุนายน 2024 ทาง Progress ได้เผยแพร่ข่าวด้านความปลอดภัยที่แจ้งเตือนเกี่ยวกับช่องโหว่ร้ายแรง 15 รายการ รวมถึง CVE-2024-4885 ซึ่งเป็นช่องโหว่ RCE ระดับ Critical ที่มีคะแนนสูงถึง 9.8 ทาง Progress แนะนำให้ผู้ใช้ทำการอัปเกรดให้เป็นเวอร์ชันล่าสุด 23.1.3 เพื่อแก้ไขช่องโหว่เหล่านี้
ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยด้านความปลอดภัย Sina Kheirkhah ซึ่งได้เผยแพร่บทความทางเทคนิคโดยละเอียดบนบล็อกของเขา รวมถึงชุดสาธิตการโจมตี (PoC)
ช่องโหว่นี้จะส่ง request 'TestRecurringReport' ไปยัง WhatsUp Gold reporting endpoint ซึ่งมีการกำหนดค่าที่ออกแบบมาเป็นพิเศษ การกำหนดค่านี้รวมถึง URL ไปยังเว็บเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมอยู่ และ user ID ที่เซิร์ฟเวอร์เป้าหมายควร respond กลับ
เมื่อเซิร์ฟเวอร์เป้าหมายตอบสนองต่อเซิร์ฟเวอร์ของ Hacker จะมีชื่อผู้ใช้ และรหัสผ่านเข้ารหัสที่เชื่อมโยงกับ user ID รวมอยู่ด้วย
การโจมตีของ Kheirkhah จะใช้ข้อมูลนี้เพื่อสร้าง requests และ responses เพิ่มเติม และตอบกลับไปยังเซิร์ฟเวอร์เป้าหมายเพื่อเขียนไฟล์บนเซิร์ฟเวอร์ จากนั้นจึงเปิดใช้งานจากระยะไกลเพื่อเรียกใช้คำสั่งเพิ่มเติม
เนื่องจากเพย์โหลดสุดท้ายในการโจมตีถูกส่งมาจากเซิร์ฟเวอร์ที่ควบคุมโดย Hacker จึงยังไม่ทราบแน่ชัดว่ามีการสร้างเพย์โหลดใดบนเซิร์ฟเวอร์เป้าหมายหรือไม่ แต่ถ้าหากเปรียบเทียบกับการโจมตีลักษณะเดียวกันในอดีต จะมีการสร้างเว็บเชลล์บนอุปกรณ์เป้าหมายเพื่อให้สามารถเข้าถึง และแฝงตัวในระบบของเป้าหมาย
ทาง Progress จึงได้แนะนำให้ผู้ดูแลระบบ WhatsUp Gold ทำการอัปเดตด้านความปลอดภัย หรือการลดผลกระทบ และติดตามการดำเนินการที่น่าสงสัยต่อไป
รวมถึงหากผู้ดูแลระบบไม่สามารถอัปเกรดเป็นเวอร์ชัน 23.1.3 ได้ในทันที แนะนำให้ตรวจสอบความพยายามในการโจมตีที่ใช้ /NmAPI/RecurringReport' endpoint และกำหนดค่า firewall rules เพื่อจำกัดการเข้าถึงเฉพาะ IP addresses ที่เชื่อถือได้บนพอร์ต 9642 และ 9643 เท่านั้น
ที่มา : bleepingcomputer
You must be logged in to post a comment.