Detección de CVE-2024-6670 y CVE-2024-6671: Ataques RCE que Explotan Vulnerabilidades Críticas de Inyección SQL en WhatsUp Gold
Tabla de contenidos:
Los hackers están utilizando exploits de prueba de concepto (PoC) para vulnerabilidades recientemente identificadas en Progress Software WhatsUp Gold para ataques en estado salvaje. Los defensores han descubierto recientemente ataques RCE que explotan las fallas críticas de inyección SQL identificadas como CVE-2024-6670 y CVE-2024-6671. Notablemente, CVE-2024-6670 ha sido añadido al Catálogo de Vulnerabilidades Explotadas Conocidas de CISA.
Detectar exploits de CVE-2024-6670, CVE-2024-6671 de Progress WhatsUp Gold
En 2024, se descubrieron casi 28,000 vulnerabilidades descubiertas, reflejando un aumento del 39% en comparación con el año anterior. A medida que la superficie de ataque continúa expandiéndose, los defensores cibernéticos enfrentan crecientes desafíos para detectar oportunamente intentos de explotación. La Plataforma de SOC Prime para defensa cibernética colectiva aborda esto ofreciendo una vasta colección de reglas de detección, asegurando que los CVE críticos estén cubiertos con detecciones relevantes en un SLA de 24 horas.
Las últimas vulnerabilidades en el centro de atención son fallas críticas de WhatsUp Gold (CVE-2024-6670, CVE-2024-6671) que están siendo explotadas activamente en estado salvaje. Para detectar posibles intentos de explotación, los profesionales de la seguridad pueden usar un conjunto de reglas Sigma personalizadas ya disponibles en la Plataforma SOC Prime. Simplemente pulse el botón Explorar Detecciones abajo e inmediatamente profundice en la colección de reglas.
Las detecciones son compatibles con más de 30 formatos de SIEM, EDR y Data Lake y están mapeadas al marco de MITRE ATT&CK®para agilizar la investigación de amenazas. Además, las reglas se enriquecen con una extensa metadata, incluyendo referencias de inteligencia de amenazas, líneas de tiempo de ataques y recomendaciones de evaluación.
Los profesionales de la seguridad que buscan contenido de detección más curado que aborde intentos de explotación de vulnerabilidades pueden acceder al relevante conjunto de reglas Sigma navegando por el Mercado de Detección de Amenazas con la etiqueta “CVE”.
Análisis de CVE-2024-6670 y CVE-2024-6671
Investigadores de Trend Micro han observado recientemente ataques RCE en Progress Software WhatsUp Gold utilizando la funcionalidad del Script PowerShell del Monitor Activo desde el 30 de agosto de 2024. Dos fallas de inyección SQL dirigidas en estos ataques, que se registran como CVE-2024-6670 and CVE-2024-6671, permiten a los atacantes recuperar contraseñas cifradas sin autenticación. Ambas vulnerabilidades críticas, con la puntuación CVSS alcanzando 9.8 y afectando a versiones de WhatsUp Gold lanzadas antes de 2024.0.0, fueron parcheadas por el proveedor a mediados de agosto. Sin embargo, el lanzamiento de un exploit público de PoC para CVE-2024-6670, que muestra cómo sobrescribir una cadena arbitraria como la nueva contraseña, aumenta el riesgo de abuso de las vulnerabilidades de WhatsUp Gold en estado salvaje.
Notablemente, la investigación de Trend Micro detectó los primeros signos de explotación activa solo cinco horas después del lanzamiento del código explotador de PoC. Los actores de amenazas aprovechan la funcionalidad legítima del Script PowerShell del Monitor Activo de WhatsUp Gold para ejecutar múltiples scripts PowerShell usando NmPoller.exe, que se obtienen de URLs remotos. Luego, los atacantes aprovechan la utilidad legítima de Windows “msiexec.exe” para instalar varias herramientas de acceso remoto a través de paquetes MSI, incluyendo Atera Agent, Radmin, SimpleHelp Remote Access y Splashtop Remote. Al desplegarlas, los adversarios aseguran persistencia en los dispositivos afectados.
Como posibles medidas de mitigación para CVE-2024-6670 y CVE-2024-6671, los defensores recomiendan encarecidamente actualizar a la última versión del software parcheada según las guías del proveedor, restringir el acceso a la consola de gestión y puntos finales de API, y siempre aplicar contraseñas fuertes.
Con el volumen constantemente creciente de ciberataques que explotan vulnerabilidades conocidas, incluyendo CVE-2024-6670 añadido al catálogo de CISA y CVE-2024-6671, las empresas que dependen de productos de software populares están buscando soluciones a prueba de futuro para fortalecer sus defensas. Al aprovechar el conjunto completo de productos de SOC Prime para ingeniería de detección potenciada por IA, caza de amenazas automatizada y detección avanzada de amenazas, las organizaciones pueden equipar a sus equipos de seguridad con soluciones empresariales rentables listas para optimizar el riesgo de la postura de ciberseguridad.
