Tenable的最新漏洞分析揭露了WhatsUp Gold 24.0.1之前版本中的一个严重缺陷，CVE-2024-8785。该漏洞的CVSS评分高达9.8，未经身份验证的远程攻击者可以利用NmAPI.exe中的注册表重写漏洞实现远程代码执行（RCE）。

NmAPI.exe是一个Windows通信基础（WCF）应用程序，是此次漏洞的核心。它实现了UpdateFailoverRegistryValues操作，允许更新特定的注册表值。然而，Tenable的报告强调了这一重大缺陷：“未经身份验证的远程攻击者可以通过netTcpBinding在net.tcp://<目标主机>:9643上调用UpdateFailoverRegistryValues操作。”

该操作允许攻击者修改HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\下的注册表路径，包括InstallDir路径。通过将路径重定向到攻击者控制的网络共享，例如\<攻击者ip>\share\WhatsUp，他们可以在Ipswitch服务控制管理器服务重启时利用该服务。

当Ipswitch服务控制管理器服务重启时——通常在系统重启或更新后——它会从攻击者控制的主机读取像WhatsUpPlatform-PluginManifest.xml这样的清单文件。攻击者可以操纵这些清单文件以注入恶意进程。例如，正如Tenable所描述的，“攻击者可以在WhatsUpPlatform-PluginManifest.xml中添加一个<ServerProcess>元素来启动一个攻击者控制的可执行文件。”

通过这样做，攻击者获得了以系统权限执行任意代码的能力，从而完全控制了目标系统。

CVE-2024-8785的后果是严重的：

• 攻击者可以在不需要身份验证的情况下完全控制系统。
• 被攻陷的系统可能成为更广泛网络渗透的入口点。
• 依赖受影响版本WhatsUp Gold的组织面临重大的运营和安全风险。

Progress已经在WhatsUp Gold 24.0.1版本中解决了这个漏洞。强烈建议用户立即升级，以减轻风险。