针对Progress今年9月修补的WhatsUp Gold重大层级漏洞,研究人员公布细节

今年9月软体业者Progress研究人员进一步提出概念性验证,说明这项漏洞的严重性。他们指出,攻击者可透过netTcpBinding呼叫UpdateFailoverRegistryValues工作,从而对HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeIpswitch的机码进行窜改数值,或是新增机码。

附带一提的是,攻击者也能窜改HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeIpswitchNetwork MonitorWhatsUp GoldSetupInstallDir机码,将其指向攻击者控制的主机。

一旦Ipswitch Service Control Manager(ServiceControlManager.exe)服务重新启动,WhatsUp Gold就会从攻击者的伺服器读取特定的manifest档案,并经由ServiceControlManager.exe启动。此时攻击者便能在特定XML档案加入恶意程式执行档,从而在WhatsUp Gold载入、运作。