Détection des CVE-2024-6670 et CVE-2024-6671 : Attaques RCE exploitant des vulnérabilités critiques d’injection SQL dans WhatsUp Gold
Table des matières :
Les hackers arment des exploits PoC pour de nouvelles vulnérabilités identifiées dans Progress Software WhatsUp Gold pour des attaques en pleine nature. Les défenseurs ont récemment découvert des attaques RCE exploitant des failles critiques d’injection SQL suivies comme CVE-2024-6670 et CVE-2024-6671. Notamment, CVE-2024-6670 a été ajouté au catalogue CISA des vulnérabilités exploitées connues..
Détecter les exploits de Progress WhatsUp Gold pour CVE-2024-6670, CVE-2024-6671
En 2024, près de 28 000 vulnérabilités ont été découvertes, reflétant une augmentation de 39 % par rapport à l’année précédente. Alors que la surface d’attaque continue de s’étendre, les cyberdéfenseurs font face à des défis croissants pour détecter les tentatives d’exploitation en temps opportun. La plateforme de SOC Prime pour la défense cybernétique collective répond à ce besoin en offrant une vaste collection de règles de détection, couvrant les CVE critiques avec des détections pertinentes dans un SLA de 24 heures.
Les dernières vulnérabilités sur le devant de la scène sont les failles critiques de WhatsUp Gold (CVE-2024-6670, CVE-2024-6671) activement exploitées in the wild. Pour repérer d’éventuelles tentatives d’exploitation, les professionnels de la sécurité peuvent utiliser un ensemble de règles Sigma sur mesure déjà disponible dans la plateforme SOC Prime. Cliquez simplement sur le bouton Explorer les Détections ci-dessous pour aller directement à la collection de règles.
bouton Explorer les Détections
Les détections sont compatibles avec plus de 30 formats SIEM, EDR et Data Lake et sont mappées au cadre MITRE ATT&CK®pour rationaliser l’enquête sur les menaces. De plus, les règles sont enrichies de métadonnées complètes, y compris les références de renseignement sur les menaces, les chronologies des attaques, et des recommandations de triage.
Les professionnels de la sécurité en quête de contenu de détection plus ciblé visant les tentatives d’exploitation de vulnérabilités peuvent accéder à l’ensemble de règles Sigma pertinentes en consultant Marketplace de détection des menaces avec le tag « CVE ».
Analyse CVE-2024-6670 et CVE-2024-6671
Les chercheurs de Trend Micro ont récemment observé des attaques RCE sur Progress Software WhatsUp Gold armant la fonctionnalité Active Monitor PowerShell Script depuis le 30 août 2024. Deux failles d’injection SQL ciblées dans ces attaques, suivies comme CVE-2024-6670 and CVE-2024-6671, permettent aux attaquants de récupérer des mots de passe chiffrés sans authentification. Les deux vulnérabilités critiques, avec un score CVSS atteignant 9,8 et affectant les versions de WhatsUp Gold sorties avant 2024.0.0, ont été corrigées par l’éditeur à la mi-août. Cependant, la sortie d’un exploit PoC public pour CVE-2024-6670, qui montre comment écraser une chaîne arbitraire en tant que nouveau mot de passe, augmente le risque d’abus des vulnérabilités de WhatsUp Gold dans la nature.
Notamment, l’enquête Trend Micro a détecté les premiers signes d’exploitation active à peine cinq heures après la publication du code exploit PoC. Les acteurs de la menace exploitent la fonctionnalité légitime Active Monitor PowerShell Script de WhatsUp Gold pour exécuter plusieurs scripts PowerShell en utilisant NmPoller.exe, récupérés à partir d’URL distantes. Les attaquants utilisent ensuite l’utilitaire Windows légitime « msiexec.exe » pour installer plusieurs outils d’accès à distance via des packages MSI, notamment Atera Agent, Radmin, SimpleHelp Remote Access, et Splashtop Remote. En les déployant, les adversaires garantissent la persistance sur les dispositifs impactés.
En tant que mesures d’atténuation potentielles pour CVE-2024-6670 et CVE-2024-6671, les défenseurs recommandent fortement de mettre à niveau vers la dernière version logicielle corrigée selon les directives du fournisseur, restreindre l’accès à la console de gestion et aux points d’accès API, et appliquer toujours des mots de passe forts.
Avec le volume de cyberattaques exploitant des vulnérabilités connues qui ne cesse d’augmenter, y compris CVE-2024-6670 ajoutée au catalogue de la CISA et CVE-2024-6671, les entreprises qui dépendent de produits logiciels populaires recherchent des solutions pérennes pour renforcer leurs défenses. En utilisant l’ensemble complet des produits de SOC Prime pour l’ingénierie de détection alimentée par l’IA, la chasse aux menaces automatisée et la détection avancée des menaces, les organisations peuvent équiper leurs équipes de sécurité de solutions prêtes à l’emploi optimisées aux meilleures coûts pour optimiser le risque de leur posture de cybersécurité. for AI-powered detection engineering, automated threat hunting, and advanced threat detection, organizations can equip their security teams with cost-efficient enterprise-ready solutions to risk-optimize the cybersecurity posture.
