La vulnerabilidad de Progress WhatsUp Gold está siendo explotada a tan solo unas horas del lanzamiento de la PoC - Masterhacks Blog

La vulnerabilidad de Progress WhatsUp Gold está siendo explotada a tan solo unas horas del lanzamiento de la PoC

Los actores maliciosos probablemente están utilizando exploits de prueba de concepto (PoC) disponibles públicamente para aprovechar vulnerabilidades de seguridad recientemente descubiertas en el software WhatsUp Gold de Progress Software y realizar ataques oportunistas.

Se informa que la actividad comenzó el 30 de agosto de 2024, apenas cinco horas después de que el investigador de seguridad Sina Kheirkhah, del equipo Summoning Team, publicara un PoC para la vulnerabilidad CVE-2024-6670 (calificación CVSS: 9.8). Kheirkhah también fue quien descubrió y reportó la vulnerabilidad CVE-2024-6671 (calificación CVSS: 9.8).

Ambas fallas críticas, que permiten a un atacante no autenticado obtener la contraseña encriptada de un usuario, fueron corregidas por Progress a mediados de agosto de 2024.

«La secuencia de eventos sugiere que, a pesar de que los parches ya estaban disponibles, algunas organizaciones no lograron aplicarlos a tiempo, lo que resultó en incidentes casi de inmediato tras la publicación del PoC», explicaron en un análisis realizado el jueves las investigadoras de Trend Micro, Hitomi Kimura y Maria Emreen Viray.

Los ataques detectados por la firma de ciberseguridad implican la elusión de la autenticación en WhatsUp Gold para explotar el Active Monitor PowerShell Script y, eventualmente, descargar varias herramientas de acceso remoto que les permiten mantener el acceso en el sistema Windows comprometido.

Entre las herramientas utilizadas se encuentran Atera Agent, Radmin, SimpleHelp Remote Access y Splashtop Remote, con Atera Agent y Splashtop Remote siendo instalados a través de un único archivo MSI descargado desde un servidor remoto.

«El proceso de sondeo NmPoller.exe, el ejecutable de WhatsUp Gold, parece ser capaz de alojar un script llamado Active Monitor PowerShell Script como una función legítima», señalaron las investigadoras. «Los atacantes aprovecharon esto para ejecutar código arbitrario de forma remota».

Aunque no se han observado acciones adicionales de explotación, el uso de varias herramientas de acceso remoto sugiere la posible implicación de un grupo de ransomware.

Esta es la segunda ocasión en la que se han explotado activamente vulnerabilidades en WhatsUp Gold. A principios del mes pasado, la Fundación Shadowserver informó sobre intentos de explotación dirigidos a la vulnerabilidad CVE-2024-4885 (calificación CVSS: 9.8), otro fallo crítico que Progress solucionó en junio de 2024.

Este anuncio se produce semanas después de que Trend Micro también revelara que actores maliciosos están aprovechando una vulnerabilidad ya parcheada en Atlassian Confluence Data Center y Confluence Server (CVE-2023-22527, calificación CVSS: 10.0) para implantar el web shell Godzilla.

«La vulnerabilidad CVE-2023-22527 sigue siendo ampliamente explotada por una variedad de actores de amenazas que se aprovechan de esta falla para realizar actividades maliciosas, lo que la convierte en un riesgo de seguridad considerable para organizaciones a nivel global», señaló la compañía.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *