In Zusammenarbeit mit einem externen Sicherheitsforscher, Assetnote, haben wir eine Reihe von verketteten Schwachstellen in Progress WhatsUp Gold behoben. Erfahren Sie, wie unsere gemeinsamen Anstrengungen uns dazu bringen, die identifizierten Probleme zu beheben, die Risiken zu mindern und unsere Kunden zu schützen.
Anfang dieses Jahres wurde Shubham Shah von Assetnote Sicherheitsforscher und CTO eines Unternehmens für kontinuierliche Sicherheitsüberwachungsplattformen informierte uns über das, was er als "perfekten Sturm von Schwachstellen" in den Versionen 16.1 -21.1.1 und 22.0.0 von Progress bezeichnete WhatsUp Gold. Und im Auge dieses sogenannten Sturms liegt die Fähigkeit eines Angreifers, an sensible Informationen zu gelangen, einschließlich verschlüsselter Passwörter. Mit diesen Informationen in der Hand wussten wir, dass es an der Zeit war, uns an die Arbeit zu machen.
Mit Hilfe von Assetnote konnten wir die Sicherheitslücken in WhatsUp Gold schnell und effektiv produktiv beheben. Die von Assetnote gefundenen Schwachstellen befanden sich in WhatsUp Gold Version 21.0.0 oder höher, in denen eine nicht authentifizierte API Der Endpunkt könnte es einem Angreifer ermöglichen, unbefugten Zugriff auf die WhatsUp Gold-Anwendung und damit auf das zugrunde liegende Betriebssystem zu erhalten.
Die folgenden Schwachstellen wurden miteinander verkettet und unsere Hinweise zu den identifizierten Problemen finden Sie hier. Dies wurde am 11. Mai 2022 auch dem WhatsUp Gold-Kundenstamm umfassend mitgeteilt.
- CVE-2022-29845: Offenlegung lokaler Dateien
- CVE-2022-29846: Offenlegung der WhatsUp Gold-Seriennummer
- CVE-2022-29847: Nicht authentifizierte serverseitige Anforderungsfälschung (SSRF)
- CVE-2022-29848: Authentifizierte serverseitige Anforderungsfälschung (SSRF)
Der Sicherheitsforscher von Assetnote war in der Lage, jeden der oben genannten Angriffe zu simulieren und uns die Illustrationen und die Sichtbarkeit zur Verfügung zu stellen, die wir benötigen, um mit der Entwicklung der entsprechenden Updates zu beginnen.
Die verantwortungsvolle Offenlegung von Schwachstellen und die koordinierte Zusammenarbeit mit Forschern ist immer eine Priorität für Progress.
Im Laufe eines Monats (11. April – 11. Mai 2022) haben wir unsere Bemühungen mit Assetnote synchronisiert. Das Unternehmen war bereit, Demonstrationen der gefundenen Schwachstellen hervorzuheben und private Treffen mit uns zu arrangieren.
Die Ergebnisse von Assetnote, die uns eine aktualisierte Dokumentation zur Verfügung stellten, ermöglichten die Veröffentlichung der WhatsUp Gold-Versionen 22.0.1 und 21.1.2, die die identifizierten Chain-Schwachstellen behoben haben. Bitte lesen Sie den KB-Artikel, der am 11. Mai 2022 veröffentlicht wurde, für weitere Details.
Unser Engagement für die schnelle Behebung von Sicherheitslücken.
Wenn Sie WhatsUp Gold Version 21.0.0 oder höher derzeit bereitgestellt haben, empfehlen wir Ihnen dringend, unseren WhatsUp Gold-Community-Beitrag zu lesen und die entsprechenden Maßnahmen zu ergreifen. Der Beitrag geht nicht nur detailliert auf diesen Vorfall ein, sondern bietet auch einen Link , um das neueste Update herunterzuladen, das das Problem behebt.
Abschließend möchten wir uns bei Shubham Shah, Mitbegründer und CTO von Assetnote, und seinem Team für ihre Forschung und proaktive Kontaktaufnahme mit uns bedanken.
Wenn Sie Fragen, Bedenken oder Probleme im Zusammenhang mit diesem Problem haben, melden Sie sich bitte an, um hier einen neuen technischen Supportfall zu öffnen, oder wenden Sie sich an Ihre Implementierung. Partner. Technischer Support steht WhatsUp Gold-Kunden im Rahmen von Garantie und aktiver Wartung zur Verfügung.
Zusatzinformation
Weitere Informationen oder das Melden von Schwachstellen im Zusammenhang mit anderen Progress-Produkten finden Sie im Progress Security Center: https://www.progress.com/security