CVE-2024-6670およびCVE-2024-6671の検出: WhatsUp Goldの重要なSQLインジェクション脆弱性を悪用したRCE攻撃

[post-views]
9月 17, 2024 · 6 分で読めます
CVE-2024-6670およびCVE-2024-6671の検出: WhatsUp Goldの重要なSQLインジェクション脆弱性を悪用したRCE攻撃

ハッカーは、野外攻撃のためにProgress Software WhatsUp Goldにおける新たに特定された脆弱性に対するPoCエクスプロイトを武器化しています。防御者は最近、 RCE攻撃 がCVE-2024-6670およびCVE-2024-6671として追跡される重大なSQLインジェクションの脆弱性を利用していることを発見しました。特にCVE-2024-6670は、 CISAの既知のエクスプロイトされた脆弱性カタログ.

CVE-2024-6670、CVE-2024-6671 Progress WhatsUp Goldのエクスプロイトを検出する 

2024年には、約28,000の脆弱性が 発見されました。これは前年と比較して39%の増加を反映しています。攻撃面が広がり続ける中で、防御側はエクスプロイトの試みを適時に検出することに増大する課題に直面しています。SOC Primeの集団サイバー防御プラットフォームは、膨大な数の検出ルールを提供し、24時間SLA内で関連する検出を伴って重要なCVEをカバーすることでこの問題に対処します。

注目を集めている最新の脆弱性は、野外で積極的にエクスプロイトされているWhatsUp Goldの重大な欠陥(CVE-2024-6670、CVE-2024-6671)です。潜在的なエクスプロイトの試みを特定するために、セキュリティ専門家は、 SOC Primeプラットフォームで既に利用可能なカスタマイズされたSigmaルールセットを利用するかもしれません。下の 検出を探索 ボタンをクリックして、ルールコレクションに直接アクセスします。  

検出を探索

検出は30以上のSIEM、EDR、データレイクのフォーマットと互換性があり、脅威調査を合理化するために MITRE ATT&CK®フレームワークにマッピングされています。さらに、ルールは脅威インテリジェンス参照、攻撃タイムライン、トリアージ推奨事項を含む豊富なメタデータで強化されています。

脆弱性エクスプロイトの試みに対処するためのよりキュレーションされた検出コンテンツを探すセキュリティ専門家は、 “CVE”タグ.

CVE-2024-6670およびCVE-2024-6671解析

Trend Microの研究者は 2024年8月30日からActive Monitor PowerShell Script機能を武器化して、Progress Software WhatsUp Goldに対するRCE攻撃を最近観察しました。これらの攻撃で標的になっている2つのSQLインジェクション脆弱性は、 CVE-2024-6670 and CVE-2024-6671として追跡され、認証なしで暗号化パスワードを取得するための許可を攻撃者に与えます。両方の重大な脆弱性は、CVSSスコアが9.8に達し、2024.0.0より前にリリースされたWhatsUp Goldのバージョンに影響を与えており、ベンダーによって8月中旬にパッチが適用されました。しかし、 CVE-2024-6670に対する 公開PoCエクスプロイトが、任意の文字列を新しいパスワードとして上書きする方法を示すことで、WhatsUp Goldの脆弱性を野外で悪用するリスクを高めています。

特に、Trend Microの調査では、PoCエクスプロイトコードのリリースからわずか5時間後にアクティブなエクスプロイトの初期兆候が検出されました。脅威アクターは、NmPoller.exeを使用して複数のPowerShellスクリプトを実行するために、WhatsUp Goldの正当なActive Monitor PowerShell Script機能を利用し、リモートURLから取得します。その後、攻撃者は正当なWindowsユーティリティ「msiexec.exe」を利用して、複数のリモートアクセスツールをMSIパッケージを介してインストールし、 Atera Agent、Radmin、SimpleHelp Remote Access、Splashtop Remoteを含めます。これらを展開することで、敵対者は影響を受けたデバイスでの持続性を確保します。 

潜在的なCVE-2024-6670およびCVE-2024-6671の緩和策として、防御者は強く ベンダーのガイドラインに従って最新のパッチソフトウェアバージョンにアップグレードし、管理コンソールおよびAPIエンドポイントへのアクセスを制限し、常に強力なパスワードを適用することを推奨します。  per vendor guidelines, restricting access to the management console and API endpoints, and always applying strong passwords. 

CISAのカタログに追加されたCVE-2024-6670およびCVE-2024-6671を含む既知の脆弱性を悪用するサイバー攻撃のボリュームが増加し続ける中で、人気のあるソフトウェア製品に依存する企業は、彼らの防御を強化するための未来に対応したソリューションを探しています。SOC Primeの 完全な製品スイート を活用することで、AIに基づく検出エンジニアリング、自動化された脅威ハンティング、先進的な脅威検出用に、組織はコスト効率的で企業対応のソリューションを提供し、サイバーセキュリティの姿勢をリスク最適化することができます。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事