Hackers targeting WhatsUp Gold with public exploit since August

ハッカーは、Progress Software 社の WhatsUp Gold ネットワーク・アベイラビリティおよびパフォーマンス・モニタリング・ソリューションの 2 つの重大な脆弱性について、公開されているエクスプロイトコードを利用しています。

8月30日以降の攻撃で悪用された2つの欠陥は、CVE-2024-6670およびCVE-2024-6671として追跡されているSQLインジェクションの脆弱性で、認証なしで暗号化されたパスワードを取得することができます。

ベンダーが2週間以上前にセキュリティ問題に対処したにもかかわらず、多くの組織はまだソフトウェアをアップデートしておらず、脅威者はその遅れに乗じている。

Progress Softwareは8月16日に問題に対処するためのセキュリティ・アップデートをリリースし、9月10日のセキュリティ情報では、潜在的な侵害を検出する方法についての説明を追加した。

この欠陥を発見したセキュリティ研究者のSina Kheirkhah氏(@SinSinology)は、5月22日にZero Day Initiative(ZDI)に報告した。8月30日、研究者は概念実証(PoC)エクスプロイトを公開した

この研究者は、ユーザー入力の不適切なサニタイズ問題を利用して、管理者アカウントのパスワード・フィールドに任意のパスワードを挿入し、乗っ取りが可能な状態にする方法を技術文書で説明している。

Kheirkhah's exploit overview
Kheirkhah氏のエクスプロイト概要
Source: summoning.team

野生の悪用

サイバーセキュリティ企業Trend Microの本日のレポートによると、ハッカーは脆弱性を悪用し始めており、観察によると、攻撃はKheirkhahのPoCに基づいて認証を迂回し、リモートコード実行とペイロード展開の段階まで進んでいるようだ。

「トレンドマイクロの研究者は、8月30日以降、Active Monitor PowerShell Scriptを悪用したWhatsUp Goldへのリモートコード実行攻撃を確認している。

セキュリティ企業の遠隔測定は、研究者がPoCエクスプロイトコードを公開してから5時間後に、アクティブなエクスプロイトの最初の兆候を捉えました。

攻撃者は、WhatsUp Goldの正規のActive Monitor PowerShell Script機能を活用し、リモートURLから取得したNmPoller.exeを介して複数のPowerShellスクリプトを実行します。

Malicious PowerShell script deployed by the attackers
攻撃者によって展開された悪意のあるPowerShellスクリプト
Source: Trend Micro:トレンドマイクロ

次に、攻撃者は正規のWindowsユーティリティ「msiexec.exe」を使用して、Atera Agent、Radmin、SimpleHelp Remote Access、Splashtop Remoteなど、さまざまなリモートアクセスツール(RAT)をMSIパッケージ経由でインストールします。

これらのRATを仕込むことで、攻撃者は侵害されたシステム上で永続性を確立できるようになります。トレンドマイクロでは、複数のペイロードが展開されていることを確認したケースもあります。

アナリストは、これらの攻撃を特定の脅威グループと断定することはできませんでしたが、複数のRATが使用されていることから、ランサムウェアの攻撃者である可能性が示唆されました。

Attack flow of the observed activity
観測された活動の攻撃フロー
Source:トレンドマイクロ

へのコメントで、KheirkhahはZDIに感謝し、彼の書き込みとPoCが最終的に将来的に影響を受ける製品のセキュリティを向上させるのに役立つことに期待を表明した。

今年、WhatsUp Goldが公開されているエクスプロイトによって炎上したのはこれが初めてではない。

8月上旬、脅威監視組織Shadowserver Foundationは、同社のハニーポットが2024年6月25日に公開されたリモート・コード実行の重大な欠陥であるCVE-2024-4885を悪用しようとする試みを捕らえたことを報告した

この欠陥はKheirkhah氏も発見しており、2週間後に自身のブログで詳細が公表された