Detecção de CVE-2024-6670 e CVE-2024-6671: Ataques RCE Explorando Vulnerabilidades Críticas de Injeção SQL no WhatsUp Gold
Índice:
Hackers estão armando exploits PoC para vulnerabilidades recém-identificadas no Progress Software WhatsUp Gold para ataques in-the-wild. Defensores recentemente descobriram ataques RCE explorando as falhas críticas de injeção SQL rastreadas como CVE-2024-6670 e CVE-2024-6671. Notavelmente, CVE-2024-6670 foi adicionado ao Catálogo de Vulnerabilidades Conhecidas Exploited da CISA.
Detectar Exploits do Progress WhatsUp Gold CVE-2024-6670, CVE-2024-6671
Em 2024, quase 28.000 vulnerabilidades foram descobertas, refletindo um aumento de 39% em comparação com o ano anterior. Enquanto a superfície de ataque continua a expandir, os defensores cibernéticos enfrentam crescentes desafios em detectar tentativas de exploração em tempo hábil. A Plataforma da SOC Prime para defesa cibernética coletiva aborda isso oferecendo uma vasta coleção de regras de detecção, garantindo que CVEs críticas sejam cobertas com detecções relevantes dentro de um SLA de 24 horas.
As últimas vulnerabilidades em destaque são falhas críticas do WhatsUp Gold (CVE-2024-6670, CVE-2024-6671) sendo ativamente exploradas in-the-wild. Para identificar possíveis tentativas de exploração, os profissionais de segurança podem usar um conjunto customizado de regras Sigma já disponível na Plataforma SOC Prime. Basta clicar no Explorar Detecções botão abaixo e ir direto para a coleção de regras.
As detecções são compatíveis com mais de 30 formatos de SIEM, EDR e Data Lake e estão mapeadas para o quadro MITRE ATT&CK®para simplificar a investigação de ameaças. Além disso, as regras são enriquecidas com extensos metadados, incluindo referências de inteligência sobre ameaças, cronogramas de ataques e recomendações de triagem.
Profissionais de segurança que procuram por conteúdo de detecção mais curado abordando tentativas de exploração de vulnerabilidades podem acessar o conjunto de regras Sigma relevante navegando pelo Marketplace de Detecção de Ameaças com o tag “CVE”.
Análise CVE-2024-6670 e CVE-2024-6671
Pesquisadores da Trend Micro recentemente observaram ataques RCE no Progress Software WhatsUp Gold armando a funcionalidade de Script PowerShell do Monitor Ativo desde 30 de agosto de 2024. Duas falhas de injeção SQL visadas nesses ataques, que são rastreadas como CVE-2024-6670 and CVE-2024-6671, dão carta branca aos atacantes para recuperar senhas criptografadas sem autenticação. Ambas as vulnerabilidades críticas, com o escore CVSS atingindo 9,8 e afetando versões do WhatsUp Gold lançadas antes de 2024.0.0, foram corrigidas pelo fornecedor em meados de agosto. No entanto, a liberação de um exploit PoC público para CVE-2024-6670, que demonstra como sobrescrever uma string arbitrária como a nova senha, aumenta o risco de abuso das vulnerabilidades do WhatsUp Gold no mundo real.
Notavelmente, a investigação da Trend Micro detectou os primeiros sinais de exploração ativa apenas cinco horas após a liberação do código exploit PoC. Os agentes de ameaças aproveitam-se da funcionalidade legítima de Script PowerShell do Monitor Ativo do WhatsUp Gold para executar múltiplos scripts PowerShell usando NmPoller.exe, que são buscados de URLs remotas. Os atacantes então usam o utilitário legítimo do Windows “msiexec.exe” para instalar várias ferramentas de acesso remoto via pacotes MSI, incluindo Agente Atera, Radmin, Acesso Remoto SimpleHelp, e Splashtop Remote. Ao implantá-los, os adversários garantem persistência nos dispositivos impactados.
Como medidas potenciais de mitigação para CVE-2024-6670 e CVE-2024-6671, os defensores recomendam fortemente atualizar para a versão mais recente do software corrigido conforme as diretrizes do fornecedor, restringindo o acesso ao console de gerenciamento e aos endpoints da API, e sempre aplicando senhas fortes.
Com o volume constantemente crescente de ataques cibernéticos explorando vulnerabilidades conhecidas, incluindo CVE-2024-6670 adicionado ao catálogo da CISA e CVE-2024-6671, as empresas que dependem de produtos de software populares estão procurando soluções preparadas para o futuro para fortalecer suas defesas. Aproveitando a suíte completa de produtos da SOC Prime para engenharia de detecção impulsionada por IA, caça automática de ameaças e detecção avançada de ameaças, as organizações podem equipar suas equipes de segurança com soluções eficientes em custo, prontas para empresas, para otimizar o risco da postura de cibersegurança.
