CVE-2024-6670 und CVE-2024-6671 Erkennung: RCE-Angriffe, die kritische SQL-Injection-Schwachstellen in WhatsUp Gold ausnutzen
Inhaltsverzeichnis:
Hacker nutzen PoC-Exploits für neu identifizierte Schwachstellen in Progress Software WhatsUp Gold für Angriffe in freier Wildbahn. Verteidiger haben kürzlich RCE-Angriffe aufgedeckt, die die kritischen SQL-Injektionslücken ausnutzen, die als CVE-2024-6670 und CVE-2024-6671 verfolgt werden. Bemerkenswert ist, dass CVE-2024-6670 zum CISA’s Known Exploited Vulnerabilities Catalog.
erkannt wurde. Erkennen Sie CVE-2024-6670, CVE-2024-6671 Progress WhatsUp Gold Exploits
Im Jahr 2024 wurden fast 28.000 Schwachstellen entdeckt,, was einer Steigerung von 39 % im Vergleich zum Vorjahr entspricht. Da die Angriffsfläche weiter zunimmt, stehen Cyber-Verteidiger vor wachsenden Herausforderungen bei der rechtzeitigen Erkennung von Ausnutzungsversuchen. Die Plattform von SOC Prime für kollektive Cyberverteidigung begegnet dem, indem sie eine umfangreiche Sammlung von Erkennungsregeln bietet und sicherstellt, dass kritische CVEs mit relevanten Erkennungen innerhalb einer 24-Stunden-SLA abgedeckt sind.
Die neuesten Schwachstellen im Rampenlicht sind kritische WhatsUp Gold-Lücken (CVE-2024-6670, CVE-2024-6671), die aktiv in freier Wildbahn ausgenutzt werden. Um mögliche Ausnutzungsversuche zu erkennen, könnten Sicherheitsexperten ein maßgeschneidertes Sigma-Regelset nutzen, das bereits in der SOC Prime Platformverfügbar ist. Drücken Sie einfach auf die Erkennung erkunden Schaltfläche unten und vertiefen Sie sich sofort in die Regelkollektion.
Die Erkennungen sind mit über 30 SIEM-, EDR- und Data-Lake-Formaten kompatibel und werden auf das MITRE ATT&CK®-Rahmenwerkabgebildet, um die Bedrohungsuntersuchung zu rationalisieren. Außerdem sind die Regeln mit umfangreichen Metadaten angereichert, einschließlich Bedrohungsinformationsreferenzen, Angriffschronologien und Triage-Empfehlungen.
Sicherheitsspezialisten, die mehr kuratierte Erkennungsinhalte zur Bekämpfung von Schwachstellenausnutzungsversuchen suchen, können durch das Durchsuchen des Threat Detection Marketplace mit dem „CVE“-Tag.
CVE-2024-6670 und CVE-2024-6671 Analyse
Trend Micro-Forscher haben kürzlich RCE-Angriffe auf Progress Software WhatsUp Gold beobachtet, die seit dem 30. August 2024 die Active Monitor PowerShell Script-Funktion waffnen. Zwei SQL-Injektionslücken, die in diesen Angriffen ausgenutzt werden und als CVE-2024-6670 and CVE-2024-6671verfolgt werden, geben Angreifern grünes Licht, um verschlüsselte Passwörter ohne Authentifizierung abzurufen. Beide kritischen Schwachstellen, deren CVSS-Wert 9,8 erreicht und WhatsUp Gold-Versionen betrifft, die vor 2024.0.0 veröffentlicht wurden, wurden vom Anbieter Mitte August gepatcht. Allerdings erhöht die Veröffentlichung eines öffentlichen PoC-Exploits für CVE-2024-6670, der zeigt, wie man einen beliebigen String als neues Passwort überschreibt, das Risiko von Missbrauch der WhatsUp Gold Schwachstellen in freier Wildbahn.
Bemerkenswert ist, dass die Untersuchung von Trend Micro die ersten Anzeichen einer aktiven Ausnutzung nur fünf Stunden nach der Veröffentlichung des PoC-Exploit-Codes entdeckte. Bedrohungsakteure nutzen die legitime Active Monitor PowerShell Script-Funktionalität von WhatsUp Gold, um mehrere PowerShell-Skripte mit NmPoller.exe auszuführen, die von entfernten URLs abgerufen werden. Die Angreifer verwenden dann das legitime Windows-Dienstprogramm „msiexec.exe“, um mehrere Remotezugriffswerkzeuge über MSI-Pakete zu installieren, darunter Atera Agent, Radmin, SimpleHelp Remote Access und Splashtop Remote. Durch deren Bereitstellung stellen die Angreifer die Persistenz auf den betroffenen Geräten sicher.
Als potenzielle Maßnahmen zur Abwehr von CVE-2024-6670 und CVE-2024-6671 wird den Verteidigern dringend geraten, auf die neueste gepatchte Softwareversion zu aktualisieren, gemäß den Richtlinien des Anbieters den Zugriff auf die Verwaltungskonsole und API-Endpunkte einzuschränken und stets starke Passwörter zu verwenden.Â
Mit dem ständig wachsenden Volumen von Cyberangriffen, die bekannte Schwachstellen ausnutzen, einschließlich CVE-2024-6670, das zum Katalog von CISA hinzugefügt wurde, und CVE-2024-6671, suchen Unternehmen, die sich auf beliebte Softwareprodukte verlassen, nach zukunftssicheren Lösungen, um ihre Abwehrmaßnahmen zu stärken. Durch die Nutzung von SOC Prime’s komplets Produktpaket für KI-gesteuerte Erkennungstechnik, automatisierte Bedrohungssuche und fortschrittliche Bedrohungserkennung können Organisationen ihre Sicherheitsteams mit kosteneffizienten, unternehmensbereiten Lösungen ausstatten, um die Cybersecurity-Strategie risikogerecht zu optimieren.
