黑客自 8 月以来频繁利用公开漏洞攻击 WhatsUp Gold

主要观点总结

本文报道了黑客利用Progress Software的WhatsUp Gold网络监控解决方案中的两个严重漏洞CVE-2024-6670和CVE-2024-6671进行攻击的事件。尽管Progress Software已发布安全更新和说明，但黑客仍利用这些漏洞发起攻击。攻击者利用NmPoller.exe运行多个PowerShell脚本，并植入多个远程访问工具（RAT），在受感染的系统上建立持久性。

关键观点总结

关键观点1: 黑客利用WhatsUp Gold中的两个SQL注入漏洞进行攻击。

CVE-2024-6670和CVE-2024-6671漏洞允许未经身份验证的情况下检索加密密码，攻击者可利用这些漏洞绕过身份验证并进入远程代码执行和有效载荷部署阶段。

关键观点2: Progress Software已发布安全更新和说明。

Progress Software于8月16日发布了针对该问题的安全更新，并在9月10日的安全公告中添加了如何检测潜在危害的说明。

关键观点3: 攻击者利用WhatsUp Gold的合法功能进行攻击。

攻击者利用合法的Active Monitor PowerShell Script功能，通过从远程URL检索的NmPoller.exe运行多个PowerShell脚本，并部署恶意脚本。

关键观点4: 攻击者植入远程访问工具（RAT）以建立持久性。

攻击者使用合法的Windows实用程序“msiexec.exe”通过MSI包安装各种远程访问工具，如Atera Agent、Radmin、SimpleHelp Remote Access和Splashtop Remote。这些工具使攻击者在受感染的系统上建立持久性。

关键观点5: 这不是WhatsUp Gold今年的第一次遭受公开漏洞的攻击。

8月初，Shadowserver Foundation报告了利用CVE-2024-4885的攻击。这个漏洞也是由Kheirkhah发现的，他于两周后在社交媒体上公布了完整的详细信息。

文章预览

黑客一直在利用 Progress Software 的 WhatsUp Gold 网络可用性和性能监控解决方案中两个严重漏洞的公开漏洞代码。 自 8 月 30 日以来，攻击中利用的两个漏洞是 SQL 注入漏洞，跟踪编号为 CVE-2024-6670 和 CVE-2024-6671，漏洞允许在未经身份验证的情况下检索加密密码。 尽管相关工作人员在两周前就解决了安全问题，但许多客户仍然需要更新软件，而威胁者正在利用这一漏洞发起攻击。 Progress Software 于 8 月 16 日发布了针对该问题的安全更新，并于 9 月 10 日在安全公告中添加了如何检测潜在危害的说明。 安全研究员 Sina Kheirkhah 发现了这些漏洞，并于 5 月 22 日将其报告给零日计划。8 月 30 日，该研究员发布了概念验证 (PoC) 漏洞。 该研究员在技术文章中解释了如何利用用户输入中不适当的清理问题将任意密码插入管理员帐户的密码字段，从而使其容易被接管。 ………………………………