Rilevamento di CVE-2024-6670 e CVE-2024-6671: Attacchi RCE che Sfruttano Vulnerabilità Critiche di SQL Injection in WhatsUp Gold

[post-views]
Settembre 17, 2024 · 4 min di lettura
Rilevamento di CVE-2024-6670 e CVE-2024-6671: Attacchi RCE che Sfruttano Vulnerabilità Critiche di SQL Injection in WhatsUp Gold

Gli hacker stanno utilizzando exploit PoC per vulnerabilità recentemente identificate in Progress Software WhatsUp Gold per attacchi in-the-wild. I difensori hanno recentemente scoperto attacchi RCE che sfruttano i difetti critici di SQL injection tracciati come CVE-2024-6670 e CVE-2024-6671. In particolare, CVE-2024-6670 è stato aggiunto a il Catalogo delle Vulnerabilità Sfruttate di CISA.

Rileva gli exploit CVE-2024-6670, CVE-2024-6671 Progress WhatsUp Gold 

Nel 2024, quasi 28,000 vulnerabilità sono state scoperte, riflettendo un aumento del 39% rispetto all’anno precedente. Man mano che la superficie di attacco continua ad espandersi, i difensori cyber affrontano sfide crescenti nel rilevare tempestivamente i tentativi di sfruttamento. La piattaforma di SOC Prime per la difesa cyber collettiva affronta questo offrendo una vasta raccolta di regole di rilevamento, assicurando che i CVE critici siano coperti con rilevamenti pertinenti entro un SLA di 24 ore.

Le ultime vulnerabilità alla ribalta sono gli errori critici di WhatsUp Gold (CVE-2024-6670, CVE-2024-6671) sfruttati attivamente in-the-wild. Per individuare eventuali tentativi di sfruttamento, i professionisti della sicurezza potrebbero utilizzare un set di regole Sigma personalizzato già disponibile nella Piattaforma SOC Prime. Basta premere il pulsante Esplora Rilevamenti qui sotto per approfondire immediatamente la raccolta di regole.  

pulsante Esplora Rilevamenti

I rilevamenti sono compatibili con più di 30 formati SIEM, EDR e Data Lake e sono mappati al framework MITRE ATT&CK®per semplificare l’indagine sulle minacce. Inoltre, le regole sono arricchite con metadati estensivi, includendo riferimenti di intelligence delle minacce, cronologie di attacco e raccomandazioni di triage.

I professionisti della sicurezza che cercano più contenuti di rilevamento curati che affrontano i tentativi di sfruttamento delle vulnerabilità potrebbero accedere allo stack di regole Sigma pertinente navigando nel Threat Detection Marketplace con il tag “CVE”.

Analisi di CVE-2024-6670 e CVE-2024-6671

I ricercatori di Trend Micro hanno recentemente osservato attacchi RCE su Progress Software WhatsUp Gold che sfruttano la funzionalità Active Monitor PowerShell Script dal 30 agosto 2024. Due difetti di SQL injection mirati in questi attacchi, tracciati come CVE-2024-6670 and CVE-2024-6671, consentono agli attaccanti di recuperare password criptate senza autenticazione. Entrambe le vulnerabilità critiche, con il punteggio CVSS che raggiunge 9.8 e che colpiscono le versioni di WhatsUp Gold rilasciate prima della versione 2024.0.0, sono state risolte dal fornitore a metà agosto. Tuttavia, la pubblicazione di un exploit PoC pubblico per CVE-2024-6670, che mostra come sovrascrivere una stringa arbitraria come nuova password, incrementa il rischio di sfruttare le vulnerabilità di WhatsUp Gold in-the-wild.

In particolare, l’indagine di Trend Micro ha rilevato i primi segni di sfruttamento attivo solo cinque ore dopo il rilascio del codice dell’exploit PoC. Gli attori delle minacce sfruttano la funzionalità legittima Active Monitor PowerShell Script di WhatsUp Gold per eseguire più script PowerShell utilizzando NmPoller.exe, che vengono recuperati da URL remoti. Gli attaccanti quindi utilizzano l’utilità legittima di Windows “msiexec.exe” per installare diversi strumenti di accesso remoto tramite pacchetti MSI, tra cui Atera Agent, Radmin, SimpleHelp Remote Access e Splashtop Remote. Implementandoli, gli avversari assicurano la persistenza sui dispositivi impattati. 

Come misure di mitigazione potenziali per CVE-2024-6670 e CVE-2024-6671, i difensori raccomandano fortemente di aggiornare all’ultima versione software patchata secondo le linee guida del fornitore, limitare l’accesso alla console di gestione e agli endpoint API, e applicare sempre password forti. 

Con il volume di attacchi cyber in costante aumento che sfruttano le vulnerabilità conosciute, inclusa CVE-2024-6670 aggiunta al catalogo di CISA e CVE-2024-6671, le aziende che si affidano a prodotti software popolari cercano soluzioni a prova di futuro per rafforzare le loro difese. Sfruttando la suite completa di prodotti di SOC Prime per l’ingegneria delle rilevazioni basata sull’AI, il threat hunting automatizzato e il rilevamento avanzato delle minacce, le organizzazioni possono dotare i loro team di sicurezza di soluzioni aziendali pronte ed economiche per ottimizzare il rischio del loro profilo di sicurezza informatica. for AI-powered detection engineering, automated threat hunting, and advanced threat detection, organizations can equip their security teams with cost-efficient enterprise-ready solutions to risk-optimize the cybersecurity posture.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Articoli correlati