Monitoring-Software Whatsup Gold: Hersteller rät zum schleunigen Update
Progress warnt, dass teils kritische Sicherheitslücken in Whatsup Gold lauern. Admins sollen so schnell wie möglich aktualisieren.
(Bild: Bild erstellt mit KI in Bing Image Creator durch heise online / dmk)
In Whatsup Gold klaffen sechs Schwachstellen, von denen zwei als kritisches Risiko gelten. Die vier weiteren SicherheitslĂĽcken verfehlen die kritische Einordnung nur knapp.
In einer Sicherheitsmitteilung warnt Hersteller Progress nun vor diesen Sicherheitslecks. Die Entwickler des Unternehmens empfehlen allen Whatsup-Gold-Kunden, ihre Umgebungen "so schnell wie möglich" auf die nun verfügbare Version 24.0.1 zu aktualisieren. Wer eine ältere Version einsetze und das Upgrade nicht vornehme, bleibe für die Schwachstellen verwundbar.
Whatsup Gold: Nur Update hilft
Temporäre Gegenmaßnahmen, die die Lücken anderweitig ausbessern könnten, gibt es demnach offenbar nicht. Admins sollen die aktualisierte Software von Progress herunterladen. Anschließend sollen sie den Installer starten und den Anweisungen folgen.
Informationen zu den Sicherheitslücken selbst sind jedoch äußerst dünn, freundlich formuliert: Die CVE-Nummern und CVSS-Einstufung sind vorhanden, mehr nicht. Es handelt sich bei den Lücken CVE-2024-46905, CVE-2024-46906, CVE-2024-46907 und CVE-2024-46908 um solche mit einem CVSS-Wert von 8.8, sind also als Risiko "hoch" eingestuft. Gemeldet hat sie Trend Micros Zero Day Initiative. Trend Micro hat zudem die Lücke CVE-2024-46909 gemeldet, mit einem CVSS-Wert von 9.8 als kritisch eingestuft. Von Tenable hat Progress Informationen zur Schwachstelle CVE-2024-8785 erhalten, ebenfalls mit Risikoeinstufung als "kritisch" und einem CVSS-Wert von 9.8.
Die CVE-Einträge sind bislang lediglich reserviert, aber noch nicht öffentlich. Es ist daher unklar, um was für Schwachstellen es sich handelt, was sie auslöst und wie Angriffe darauf aussehen könnten. IT-Verantwortliche sollten die Hersteller-Warnung ernst nehmen und die Aktualsiierung zügig anwenden.
Erst Anfang des Monats hatte Progress kritische Lücken in Whatsup Gold gestopft. Angreifer hatten dadurch die Anmeldung umgehen können. Whatsup Gold ist Bestandteil der "Werkzeugkoffer" von Cyberkriminellen. Anfang August hatte die Shadowserver Foundation vor Angriffen auf Whatsup-Gold-Installationen in freier Wildbahn gewarnt.
(dmk)