Les pirates informatiques exploitent le code d’exploitation accessible au public pour deux vulnérabilités critiques de la solution de surveillance de la disponibilité et des performances du réseau WhatsUp Gold de Progress Software.

Les deux failles exploitées dans les attaques depuis le 30 août sont des vulnérabilités d’injection SQL suivies comme CVE-2024-6670 et CVE-2024-6671 qui permettent de récupérer des mots de passe cryptés sans authentification.

Bien que le fournisseur ait résolu les problèmes de sécurité il y a plus de deux semaines, de nombreuses organisations doivent encore mettre à jour le logiciel et les acteurs de la menace capitalisent sur le retard.

Progress Software a publié des mises à jour de sécurité pour résoudre les problèmes le 16 août et a ajouté des instructions sur la façon de détecter une compromission potentielle dans un bulletin de sécurité le 10 septembre.

La chercheuse en sécurité Sina Kheirkhah (@SinSinology) qui a découvert les failles et les a signalées à la Zero Day Initiative (ZDI) le 22 mai. Le 30 août, le chercheur a publié les exploits de preuve de concept (PoC).

Le chercheur explique dans un article technique comment tirer parti d’un problème de nettoyage incorrect des entrées utilisateur pour insérer des mots de passe arbitraires dans le champ de mot de passe des comptes administrateurs, les rendant ainsi vulnérables à la prise de contrôle.

Vue d’ensemble de l’exploit de Kheirkhah

Dans l’exploitation sauvage
Un rapport publié aujourd’hui par la société de cybersécurité Trend Micro note que les pirates informatiques ont commencé à exploiter les vulnérabilités et, sur la base des observations, il semble que les attaques soient basées sur les POC de Kheirkhah pour contourner l’authentification et passer à l’étape d’exécution de code à distance et de déploiement de la charge utile.

« Les chercheurs de Trend Micro ont identifié des attaques d’exécution de code à distance sur WhatsUp Gold exploitant le script PowerShell Active Monitor depuis le 30 août » – Trend Micro

La télémétrie de l’entreprise de sécurité a détecté les premiers signes d’exploitation active cinq heures après que le chercheur a publié le code d’exploitation PoC.

Les attaquants exploitent la fonctionnalité de script PowerShell Active Monitor légitime de WhatsUp Gold pour exécuter plusieurs scripts PowerShell via NmPoller.exe, récupéré à partir d’URL distantes.

Script PowerShell malveillant déployé par les attaquants

Ensuite, les attaquants utilisent l’utilitaire Windows légitime ‘ msiexec.exe ‘ pour installer divers outils d’accès à distance (RATs) via des packages MSI, notamment Atera Agent, Radmin, SimpleHelp Remote Access et Splashtop Remote.

Planter ces rats permet aux attaquants d’établir une persistance sur les systèmes compromis. Dans certains cas, Trend Micro a observé le déploiement de plusieurs charges utiles.

Les analystes n’ont pas été en mesure d’attribuer ces attaques à un groupe de menaces particulier, mais l’utilisation de plusieurs RATs suggère qu’il pourrait s’agir d’acteurs de ransomware.

Flux d’attaque de l’activité observée

Dans un commentaire à Breachtrace, Kheirkhah a remercié ZDI et a exprimé l’espoir que ses articles et ses prix contribueront éventuellement à accroître la sécurité du produit concerné à l’avenir.

Ce n’est pas la première fois que WhatsUp Gold est critiqué par des exploits accessibles au public cette année.

Début août, l’organisation de surveillance des menaces Shadowserver Foundation a signalé que ses pots de miel avaient intercepté des tentatives d’exploitation de CVE-2024-4885, une faille critique d’exécution de code à distance divulguée le 25 juin 2024.

Cette faille a également été découverte par Kheirkhah, qui a publié les détails complets sur son blog deux semaines plus tard.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *