Охота на WhatsUp Gold: хакеры атакуют, компании медлят с обновлениями

leer en español

WhatsUp Gold уязвимости патчи пароли CVE-2024-6670 CVE-2024-6671
Охота на WhatsUp Gold: хакеры атакуют, компании медлят с обновлениями
WhatsUp Gold уязвимости патчи пароли CVE-2024-6670 CVE-2024-6671

Две уязвимости позволяют извлекать зашифрованные пароли без аутентификации.

image

Хакеры начали активно эксплуатировать две критические уязвимости в популярном программном обеспечении WhatsUp Gold, разработанном компанией Progress Software. Это решение широко используется для мониторинга доступности и производительности сетей во многих организациях.

Уязвимости, получившие идентификаторы CVE-2024-6670 и CVE-2024-6671, позволяют злоумышленникам извлекать зашифрованные пароли без аутентификации. По сути, они открывают «черный ход» в системы, которые должны быть надежно защищены.

Атаки начались 30 августа, несмотря на то что Progress Software выпустила патчи еще 16 августа. Многие организации до сих пор не обновились, чем и пользуются киберпреступники. Первооткрывателем уязвимостей стал исследователь Сина Хейрхах. Он обнаружил проблемы еще 22 мая и сообщил о них в организацию Zero Day Initiative. 30 августа Хейрхах опубликовал подробное техническое описание брешей вместе с примерами эксплойтов.

В своем отчете исследователь объясняет, как недостаточная проверка пользовательского ввода позволяет вставлять произвольные пароли в поля учетных записей администраторов. Это и делает аккаунты уязвимыми для захвата. Компания Trend Micro сообщила, что хакеры начали эксплуатировать уязвимости почти сразу после публикации эксплойтов. Первые признаки атак были зафиксированы уже через пять часов после появления кода в открытом доступе.

Злоумышленники используют легитимную функцию WhatsUp Gold под названием Active Monitor PowerShell Script. С ее помощью они запускают вредоносные скрипты PowerShell через исполняемый файл NmPoller.exe, загружая их с удаленных URL-адресов. Далее атакующие применяют встроенную утилиту Windows msiexec.exe для установки различных инструментов удаленного доступа (RAT). Среди них Atera Agent, Radmin, SimpleHelp Remote Access и Splashtop Remote. Внедрение этих RAT позволяет закрепиться в скомпрометированных системах надолго.

В некоторых случаях Trend Micro наблюдала установку сразу нескольких вредоносных программ. Аналитики пока не смогли приписать эти атаки конкретной группировке, но использование множества RAT указывает на возможную причастность операторов программ-вымогателей.

Хейрхах в комментарии изданию BleepingComputer выразил надежду, что его исследования и опубликованные эксплойты в конечном итоге помогут повысить безопасность ПО в будущем.

В 2024 году это не первый случай, когда WhatsUp Gold оказывается под ударом публично доступных эксплойтов. В начале августа организация Shadowserver Foundation сообщила о попытках эксплуатации уязвимости CVE-2024-4885, критической ошибки удаленного выполнения кода, раскрытой 25 июня. Эту уязвимость также обнаружил Хейрхах.

Эксперты призывают все организации, использующие WhatsUp Gold, немедленно установить последние обновления безопасности и проверить свои системы на признаки компрометации.