CVE-2024-6670 및 CVE-2024-6671 탐지: WhatsUp Gold의 치명적인 SQL 인젝션 취약점을 악용한 RCE 공격

해커들은 현장에서의 공격을 위해 Progress Software WhatsUp Gold의 새로 식별된 취약점에 대한 PoC 익스플로잇을 무기화하고 있습니다. 방어자들은 최근에 RCE 공격을 발견했습니다 SQL 인젝션 취약점(CVE-2024-6670 및 CVE-2024-6671로 추적)을 악용하여 주목할만한 CVE-2024-6670이 CISA의 알려진 취약점 카탈로그.

CVE-2024-6670, CVE-2024-6671 Progress WhatsUp Gold 익스플로잇 감지

2024년에는 거의 28,000개의 취약점이 발견되었습니다. 이는 전년도 대비 39% 증가한 수치입니다. 공격 표면이 계속 확장됨에 따라 사이버 방어자들은 착취 시도를 적시에 감지하는 데 점점 더 많은 도전에 직면하고 있습니다. 공동 사이버 방어를 위한 SOC Prime의 플랫폼은 24시간 SLA 내에 관련 감지가 포함된 중요 CVE를 보장하는 감지 규칙의 방대한 컬렉션을 제공하여 이 문제를 해결합니다.

주목을 끄는 최신 취약점은 현장에서 활발히 악용되고 있는 중요한 WhatsUp Gold 결함 (CVE-2024-6670, CVE-2024-6671)입니다. 보안 전문가들은 이미 사용 가능한 맞춤형 Sigma 규칙 세트를 사용하여 가능한 착취 시도를 확인할 수 있습니다 SOC Prime 플랫폼. 아래의 탐색 감지 버튼을 누르고 규칙 컬렉션으로 즉시 상세히 분류하십시오.

탐색 감지

이 감지는 30개 이상의 SIEM, EDR 및 데이터 레이크 형식과 호환되며 위협 조사를 간소화하기 위해 MITRE ATT&CK® 프레임워크에 매핑됩니다. 또한, 규칙은 광범위한 메타데이터, 위협 인텔 참조, 공격 타임라인 및 분류 권고 사항이 포함되어 풍부하게 제공됩니다.

취약점 착취 시도를 다루는 더욱 큐레이션된 감지 콘텐츠를 찾는 보안 전문가들은 “CVE” 태그.

CVE-2024-6670 및 CVE-2024-6671 분석

Trend Micro 연구원들은 2024년 8월 30일부터 Progress Software WhatsUp Gold에 대한 RCE 공격을 Active Monitor PowerShell Script 기능을 무기화하여 최근 관찰했습니다. 이러한 공격에서 목표로 하는 SQL 인젝션 취약점 두 개는 have recently observed RCE attacks on Progress Software WhatsUp Gold weaponizing the Active Monitor PowerShell Script feature since August 30, 2024. Two SQL injection flaws targeted in these attacks, which are tracked as CVE-2024-6670 and CVE-2024-6671로 추적되며, 공격자들이 인증 없이 암호화된 비밀번호를 검색할 수 있도록 허용합니다. 두 개의 중요한 취약점은 CVSS 점수가 9.8에 이르고 2024.0.0 이전에 출시된 WhatsUp Gold 버전에 영향을 미치며, 벤더에서는 8월 중순에 패치되었습니다. 그러나 공개 PoC 익스플로잇 의 릴리스는 임의의 문자열을 새로운 비밀번호로 덮어쓰는 방법을 보여줌으로써 현장에서의 WhatsUp Gold 취약점 악용의 위험을 높였습니다.

특히, Trend Micro의 조사는 PoC 익스플로잇 코드가 공개된 후 단 5시간 만에 활성 착취의 초기 징후를 감지했습니다. 위협 행위자들은 WhatsUp Gold의 정당한 Active Monitor PowerShell Script 기능을 활용하여 원격 URL에서 가져온 여러 PowerShell 스크립트를 NmPoller.exe를 사용하여 실행합니다. 공격자들은 그 후 정당한 Windows 유틸리티 “msiexec.exe”를 활용하여 Atera Agent, Atera Agent, Radmin, SimpleHelp Remote Access 및 Splashtop Remote를 포함한 여러 원격 액세스 도구를 MSI 패키지를 통해 설치합니다. 이를 배포함으로써, 적들은 영향을 받은 장치에 지속성을 보장합니다.

잠재적인 CVE-2024-6670 및 CVE-2024-6671 완화 조치로, 방어자들은 벤더 가이드라인에 따라 최신 패치된 소프트웨어 버전으로 업그레이드하고 관리 콘솔 및 API 엔드포인트에 대한 접근을 제한하며, 항상 강력한 비밀번호를 적용할 것을 강력히 권장합니다.

알려진 취약점의 악용을 포함하여 지속적으로 증가하는 사이버 공격량과 함께, CISA의 카탈로그에 추가된 CVE-2024-6670 및 CVE-2024-6671을 사용하는 기업들은 방어력을 강화하기 위해 미래 지향적인 솔루션을 찾고 있습니다. SOC Prime의 AI 지원 감지 엔지니어링, 자동화된 위협 탐색 및 고급 위협 감지를 위한 완벽한 제품군 을 활용하여 조직은 비용 효율적이고 기업용 준비된 솔루션으로 보안 팀을 무장시켜 사이버 보안 입지를 최적화할 수 있습니다.