"Whatsup Gold": Umgehen der Anmeldung durch kritische Sicherheitslücken möglich
Progress schließt mit aktualisierter Software kritische Sicherheitslücken in der Monitoring-Software "Whatsup Gold".
(Bild: Bild erstellt mit KI in Bing Image Creator durch heise online / dmk)
Die Netzwerk-Überwachungssoftware "Whatsup Gold" vom Hersteller Progress weist einige Sicherheitslücken auf. Zwei davon stufen die Entwickler sogar als kritisch ein. Der Hersteller stellt aktualisierte Software bereit, die IT-Verantwortliche zügig installieren sollten.
In einer Sicherheitsmitteilung fasst Progress die Sicherheitslücken zusammen, die das Update auf Whatsup Gold 2024.0.0 schließt. CVE-Nummern hat Progress reserviert, sie sind jedoch noch nicht veröffentlicht. Gleich zwei Sicherheitslücken ermöglichen nicht authentifizierten Angreifern, durch SQL-Injection-Attacken das verschlüsselte Passwort von Nutzerkonten zu erhaschen (CVE-2024-6670, CVE-2024-6671, beide CVSS 9.8, Risiko "kritisch"). Die Lücken wurden von der Zeroday Initiative (ZDI) gemeldet, die in ihrer Warnung konkretisiert, dass Angreifer damit die Authentifizierung des Systems umgehen und es daher kompromittieren können.
Weitere Sicherheitslücke ist hochriskant
Eine weitere Schwachstelle dichtet das Update ab, die bösartigen Akteuren mit niedrigen Zugriffsrechten die Ausweitung ihrer Rechte im System ermöglicht. Auch dieses Leck basiert auf einer SQL-Injection-Schwachstelle (CVE-2024-6672, CVSS 8.8, Risiko hoch).
Die Entwickler von Progress schreiben, dass ihnen bislang keine Berichte vorliegen, dass die Lücken angegriffen würden. Auch sei ihnen nicht bekannt, dass die Schwachstellen Einfluss auf das operationale Geschäft der Kunden hätten. Das Unternehmen stellt eine Anleitung bereit, mit der IT-Verantwortliche die Aktualisierung vornehmen können.
Anfang August hatten IT-Forscher von der Shadowserver Foundation beobachtet, dass nach der Veröffentlichung eines Proof-of-Concept-Exploits eine Schwachstelle in Whatsup Gold in freier Wildbahn angegriffen wurde. Cyberkriminelle sehen in der Software offenbar ein lohnendes Ziel. Daher sollten Admins das Update zeitnah herunterladen und anwenden.
(dmk)