Parece que dos vulnerabilidades críticas solucionadas recientemente en el producto WhatsUp Gold de Progress Software pueden haber sido explotadas en un ataque de ransomware.
Progress Software notificó a sus clientes el 16 de agosto sobre tres vulnerabilidades en su producto de monitoreo de infraestructura de TI WhatsUp Gold.
Las dos vulnerabilidades, rastreadas como CVE-2024-6670 y CVE-2024-6671 y a las que se les asigna una clasificación de gravedad “crítica”, permiten a un atacante no autenticado obtener la contraseña cifrada de un usuario. Esto se describe como un problema de inyección SQL que puede explotarse. para este propósito.
Los investigadores del Summoning Team, que descubrieron y divulgaron responsablemente estas vulnerabilidades de inyección SQL, publicaron detalles técnicos y una prueba de concepto (PoC) el 30 de agosto.
El mismo día, Trend Micro observó ataques de ejecución remota de código contra instancias de WhatsUp Gold y la compañía cree que estos ataques pueden haber aprovechado CVE-2024-6670 y CVE-2024-6671.
“La secuencia de eventos sugiere que, aunque había un parche disponible, algunas organizaciones no pudieron aplicarlo rápidamente, lo que provocó incidentes poco después de que se publicara el PoC”, señaló Trend Micro.
Según la empresa de seguridad, los atacantes intentaron implementar múltiples herramientas de acceso remoto (RAT).
Trend Micro no ha podido vincular el ataque con ningún actor de amenaza conocido, pero el uso de múltiples RAT en el ataque sugiere que el grupo de ransomware puede haber explotado la vulnerabilidad.
anuncio publicitario. Desplázate para seguir leyendo.
CISA, la agencia de ciberseguridad de EE. UU., agregó el lunes CVE-2024-6670 a su catálogo de vulnerabilidades explotadas conocidas (KEV), pero no se ha confirmado que sea explotado en ataques de ransomware (las entradas de KEV son (especifique si se sabe que la vulnerabilidad tiene utilizado en un ataque de software). CISA aún no ha agregado CVE-2024-6671 a esta lista.
Al momento de escribir este artículo, el aviso de Progress Software no menciona ninguna explotación real, pero la compañía agregó recientemente una sección de “Indicadores de posible compromiso” al aviso.
Hay cientos de instancias de WhatsUp Gold expuestas a Internet, la mayoría ubicadas en Brasil, seguido de India, Tailandia y Estados Unidos.
Progress Software solucionó recientemente otra falla potencialmente grave en WhatsUp Gold que podría comprometer todo el sistema, pero este agujero de seguridad, identificado como CVE-2024-4885, también puede explotarse. No hay indicios de que se haya hecho.
Relacionado: Vulnerabilidad de Ivanti CSA explotada en ataques días después de su publicación
Relacionado: Microsoft anuncia que se está aprovechando la vulnerabilidad de día cero en Windows Update para revertir las correcciones de seguridad
Relacionado: CrushFTP corrige la vulnerabilidad de día cero explotada
https://packetstormsecurity.com/news/view/36361/Recent-WhatsUp-Gold-Vulnerabilities-Possibly-Exploited-In-Ransomware-Attacks.html
