Es probable que actores maliciosos estén aprovechando exploits de prueba de concepto (PoC) disponibles públicamente para fallas de seguridad recientemente reveladas en Progress Software WhatsUp Gold para llevar a cabo ataques oportunistas.
Se dice que la actividad comenzó el 30 de agosto de 2024, apenas cinco horas después de que se lanzara una prueba de concepto. liberado para CVE-2024-6670 (Puntuación CVSS: 9,8) por la investigadora de seguridad Sina Kheirkhah del Equipo de Invocación, a quien también se le atribuye el descubrimiento y el informe CVE-2024-6671 (Puntuación CVSS: 9,8).
Ambas vulnerabilidades críticas, que permiten a un atacante no autenticado recuperar la contraseña cifrada de un usuario, fueron… parcheado por Progress a mediados de agosto de 2024.
«La cronología de los acontecimientos sugiere que, a pesar de la disponibilidad de parches, algunas organizaciones no pudieron aplicarlos rápidamente, lo que provocó incidentes casi inmediatamente después de la publicación de la PoC», dijeron las investigadoras de Trend Micro Hitomi Kimura y Maria Emreen Viray. dicho en un análisis del jueves.
Los ataques observados por la empresa de ciberseguridad implican eludir la autenticación de WhatsUp Gold para explotar el script de PowerShell de Active Monitor y, en última instancia, descargar varias herramientas de acceso remoto para obtener persistencia en el host de Windows.
Esto incluye Atera Agent, Radmin, SimpleHelp Remote Access y Splashtop Remote, y tanto Atera Agent como Splashtop Remote se instalan mediante un único archivo de instalación MSI recuperado de un servidor remoto.
«El proceso de sondeo NmPoller.exe, el ejecutable de WhatsUp Gold, parece ser capaz de alojar un script llamado Active Monitor PowerShell Script como una función legítima», explicaron los investigadores. «Los actores de amenazas en este caso lo eligieron para ejecutar código arbitrario de forma remota».
Si bien no se han detectado acciones de explotación posteriores, el uso de varios programas de acceso remoto apunta a la participación de un actor de ransomware.
Esta es la segunda vez que las vulnerabilidades de seguridad en WhatsUp Gold se han utilizado activamente como arma. A principios del mes pasado, la Shadowserver Foundation dijo que había observado intentos de explotación contra CVE-2024-4885 (puntuación CVSS: 9,8), otro error crítico que Progress resolvió en junio de 2024.
La revelación se produce semanas después de que Trend Micro también revelara que los actores de amenazas están explotando una falla de seguridad ahora parcheada en Atlassian Confluence Data Center y Confluence Server (CVE-2023-22527Puntuación CVSS: 10.0) para entregar el shell web de Godzilla.
«La vulnerabilidad CVE-2023-22527 continúa siendo ampliamente explotada por una amplia gama de actores de amenazas que abusan de esta vulnerabilidad para realizar actividades maliciosas, lo que la convierte en un riesgo de seguridad significativo para las organizaciones de todo el mundo», dijo la empresa. dicho.