本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。
黑客一直在利用Progress Software的WhatsUp Gold网络可用性和性能监控解决方案中两个严重漏洞的公开漏洞代码。
自8月30日以来,攻击中利用的两个漏洞是SQL注入漏洞,跟踪编号为CVE-2024-6670和CVE-2024-6671,漏洞允许在未经身份验证的情况下检索加密密码。
尽管相关工作人员在两周前就解决了安全问题,但许多客户仍然需要更新软件,而威胁者正在利用这一漏洞发起攻击。
Progress Software于8月16日发布了针对该问题的安全更新,并于9月10日在安全公告中添加了如何检测潜在危害的说明。
安全研究员Sina Kheirkhah发现了这些漏洞,并于5月22日将其报告给零日计划。8月30日,该研究员发布了概念验证(PoC)漏洞。
该研究员在技术文章中解释了如何利用用户输入中不适当的清理问题将任意密码插入管理员帐户的密码字段,从而使其容易被接管。
Kheirkhah的漏洞概述
野外开发
网络安全公司最新的报告指出,黑客已经开始利用这些漏洞,根据观察,这些攻击似乎基于Kheirkhah的PoC,用于绕过身份验证并进入远程代码执行和有效载荷部署阶段。在研究人员发布PoC漏洞代码五小时后,安全公司的遥测技术首次发现了主动攻击的迹象。
攻击者利用WhatsUp Gold的合法Active Monitor PowerShell Script功能,通过从远程URL检索的NmPoller.exe运行多个PowerShell脚本。
攻击者部署的恶意PowerShell脚本
接下来,攻击者使用合法的Windows实用程序“msiexec.exe”通过MSI包安装各种远程访问工具(RAT),包括Atera Agent、Radmin、SimpleHelp Remote Access和Splashtop Remote。
植入这些RAT可让攻击者在受感染的系统上建立持久性。
在某些情况下,研究人员观察到部署了多个有效载荷。分析师无法将这些攻击归因于特定的威胁组织,但使用多个RAT表明它可能是勒索软件参与者。
观察到的活动的攻击流程
据了解,这并不是WhatsUp Gold今年第一次受到公开漏洞的攻击。8月初,威胁监测组织Shadowserver Foundation报告称,其蜜罐捕获了利用CVE-2024-4885的攻击,CVE-2024-4885是一个于2024年6月25日披露的严重远程代码执行漏洞。这个缺陷也被Kheirkhah发现,两周后他在社交媒体上公布了完整的详细信息。