Progress WhatsUp Gold 的严重漏洞在PoC发布后几小时就被利用

阅读量78700

发布时间 : 2024-09-14 14:58:27

x
译文声明

本文是翻译文章,文章原作者 Ravie Lakshmanan,文章来源:The Hacker News

原文地址:https://thehackernews.com/2024/09/progress-whatsup-gold-exploited-just.html

译文仅供参考,具体内容表达以及含义原文为准。

恶意行为者可能正在利用公开可用的概念验证 (PoC) 漏洞来攻击 Progress Software WhatsUp Gold 中最近披露的安全漏洞,以实施机会性攻击。

据称,该活动于 2024 年 8 月 30 日开始,距离召唤团队的安全研究员 Sina Kheirkhah 发布 CVE-2024-6670(CVSS 评分:9.8)的 PoC 仅 5 小时后,他也因发现和报告 CVE-2024-6671(CVSS 评分:9.8)而受到赞誉。

这两个关键漏洞都允许未经身份验证的攻击者检索用户的加密密码,Progress 于 2024 年 8 月中旬修补了这两个漏洞。

“事件的时间线表明,尽管有补丁可用,但一些组织无法快速应用它们,导致几乎在 PoC 发布后立即发生事件,”趋势科技研究人员 Hitomi Kimura 和 Maria Emreen Viray 在周四的分析中表示。

网络安全公司观察到的攻击涉及绕过 WhatsUp Gold 身份验证以利用 Active Monitor PowerShell 脚本,并最终下载各种远程访问工具以在 Windows 主机上获得持久性。

这包括 Atera Agent、Radmin、SimpleHelp Remote Access 和 Splashtop Remote,Atera Agent 和 Splashtop Remote 都是通过从远程服务器检索的单个 MSI 安装程序文件安装的。

“轮询过程NmPoller.exe,即 WhatsUp Gold 可执行文件,似乎能够将一个名为 Active Monitor PowerShell 脚本的脚本作为合法函数托管,”研究人员解释说。“在这种情况下,威胁行为者选择它来执行远程任意代码。”

虽然没有检测到后续的利用操作,但使用几种远程访问软件表明勒索软件参与者参与其中。

这是 WhatsUp Gold 中的安全漏洞第二次被广泛利用。上月初,Shadowserver Foundation 表示,它观察到针对 CVE-2024-4885(CVSS 评分:9.8)的利用尝试,这是 Progress 于 2024 年 6 月解决的另一个关键漏洞。

几周前,Trend Micro 还透露,威胁行为者正在利用 Atlassian Confluence Data Center 和 Confluence Server 中现已修补的安全漏洞(CVE-2023-22527,CVSS 评分:10.0)来交付 Godzilla Web Shell。

该公司表示:“CVE-2023-22527 漏洞继续被广泛的威胁行为者广泛利用,他们滥用此漏洞进行恶意活动,使其成为全球组织的重大安全风险。

本文翻译自The Hacker News 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66