Los piratas informáticos están aprovechando el código de explotación disponible públicamente para dos vulnerabilidades críticas en la solución de monitoreo de rendimiento y disponibilidad de red WhatsUp Gold de Progress Software.
Las dos fallas explotadas en los ataques desde el 30 de agosto son vulnerabilidades de inyección SQL, rastreadas como CVE-2024-6670 y CVE-2024-6671, que permiten a los usuarios obtener contraseñas cifradas sin necesidad de autenticación.
Aunque los proveedores abordaron el problema de seguridad hace más de dos semanas, muchas organizaciones todavía necesitan actualizar su software y los actores de amenazas se están aprovechando del retraso.
Progress Software lanzó una actualización de seguridad para solucionar el problema el 16 de agosto y agregó instrucciones sobre cómo detectar una posible infracción en su boletín de seguridad del 10 de septiembre.
La investigadora de seguridad Sina Kheirkhah (@SinSinology) descubrió estas fallas y las informó a la Zero Day Initiative (ZDI) el 22 de mayo. El 30 de agosto, el mismo investigador publicó un exploit de prueba de concepto (PoC).
En un artículo técnico, los investigadores describen cómo se puede utilizar un problema de desinfección inadecuado de la entrada del usuario para insertar una contraseña arbitraria en el campo de contraseña de una cuenta de administrador, lo que facilita el control de la cuenta de administrador.
Descripción general del exploit Kheirkhah
Fuente: invocando.team
explotación salvaje
Según un informe publicado hoy por la firma de ciberseguridad Trend Micro, los piratas informáticos han comenzado a explotar las vulnerabilidades y, según las observaciones, los ataques basados en el PoC de Kheirkhah evitan la autenticación y alcanzan la etapa de ejecución remota de código y despliegue de carga útil.
“Los investigadores de Trend Micro han identificado un ataque de ejecución remota de código en WhatsUp Gold que explotaba los scripts de Active Monitor PowerShell a partir del 30 de agosto” – Trend Micro
La telemetría de la empresa de seguridad capturó los primeros signos de un exploit activo cinco horas después de que los investigadores publicaran el código del exploit PoC.
El atacante aprovecha la funcionalidad legítima Active Monitor PowerShell Script de WhatsUp Gold para ejecutar múltiples scripts de PowerShell a través de NmPoller.exe obtenido de una URL remota.
Script malicioso de PowerShell implementado por el atacante
Fuente: Tendencia Micro
Luego, el atacante utiliza la utilidad legítima de Windows 'msiexec.exe' para instalar varias herramientas de acceso remoto (RAT), como Atera Agent, Radmin, SimpleHelp Remote Access y Splashtop Remote a través de paquetes MSI.
La instalación de estas RAT permite a los atacantes establecer persistencia en los sistemas comprometidos. Trend Micro ha observado múltiples implementaciones de carga útil en varios casos.
Los analistas no pudieron atribuir estos ataques a ningún grupo de amenazas en particular, pero el uso de múltiples RAT sugiere que pueden ser ataques de ransomware.
Flujo de ataque de actividad observada.
Fuente: Tendencia Micro
En un comentario a BleepingComputer, Kheirkhah agradeció a ZDI y dijo que espera que su artículo y PoC ayuden a mejorar la seguridad de los productos afectados en el futuro.
Esta no es la primera vez que WhatsUp Gold ha sido atacado con un exploit disponible públicamente este año.
A principios de agosto, la organización de monitoreo de amenazas Shadowserver Foundation dijo que sus honeypots capturaron un intento de explotar CVE-2024-4885, una vulnerabilidad crítica de ejecución remota de código publicada el 25 de junio de 2024.
La falla también fue descubierta por Kheirkhah, quien publicó todos los detalles en su blog dos semanas después.
