O vulnerabilitate RCE în Progress WhatsUp exploatată

WhatsUp Gold este un instrument complet de monitorizare a infrastructurii IT. Deși acest instrument este conceput în principal pentru a oferi vizibilitate asupra performanței și stării aplicațiilor, dispozitivelor de rețea și serverelor atât în mediile cloud, cât și în mediile on-premise.

Recent, o echipă de specialiști în securitate cibernetică au descoperit că persoanele rău intenționate exploatează în mod activ o vulnerabilitate RCE în Progress WhatsUp Gold.

Atacurile au fost observate începând cu 30 august 2024 și au fost identificate exploatând vulnerabilitățile CVE-2024-6670 și CVE-2024-6671.

Ambele vulnerabilități prezintă un grad de severitate critic și un scor CvSS de 9,8/10.

Vulnerabilitățile, dezvăluite la 16 august, permit atacatorilor neautentificați să recupereze parole criptate prin injectare SQL în configurații cu un singur utilizator.

Atacatorii au abuzat de funcția legitimă Active Monitor PowerShell Script din cadrul procesului NmPoller.exe pentru a executa coduri malițioase.

Atacatorii au încercat să instaleze instrumente de administrare la distanță (RAT) precum Atera Agent, Radmin RAT, SimpleHelp Remote access și Splashtop Remote folosind msiexec.exe.

Un pachet de actualizări a fost lansat la 16 august 2024 pentru WhatsUp Gold și a inclus remedieri pentru ambele vulnerabilități menționate CVE-2024-4885 și CVE-2024-6670. Două săptămâni mai târziu, pe 30 august, a fost raportată o dovadă de concept (PoC = proof-of-concept) care a fost găsită pe GitHub.

Atacul a profitat de capacitatea integrată a NmPoller.exe de a apela comenzi PowerShell fără a rula programul PowerShell în sine, ceea ce ar putea ajuta la evitarea anumitor politici de securitate.

Pentru a evita posibilele exploatări, se recomandă aplicarea actualizărilor imediat după lansare.

Sursă: https://cybersecuritynews.com/hackers-exploit-whatsup-rce-vulnerability/