É provável que agentes mal-intencionados estejam aproveitando explorações de prova de conceito (PoC) disponíveis publicamente para falhas de segurança recentemente divulgadas no Progress Software program WhatsUp Gold para conduzir ataques oportunistas.
Diz-se que a atividade começou em 30 de agosto de 2024, apenas cinco horas após um PoC ter sido divulgado para CVE-2024-6670 (pontuação CVSS: 9,8) pela pesquisadora de segurança Sina Kheirkhah da Summoning Group, a quem também é creditada a descoberta e o relato de CVE-2024-6671 (pontuação CVSS: 9,8).
Ambas as vulnerabilidades críticas, que permitem que um invasor não autenticado recupere a senha criptografada de um usuário, foram corrigidas pela Progress em meados de agosto de 2024.
“O cronograma dos eventos sugere que, apesar da disponibilidade de patches, algumas organizações não conseguiram aplicá-los rapidamente, levando a incidentes quase imediatamente após a publicação do PoC”, disseram as pesquisadoras da Pattern Micro Hitomi Kimura e Maria Emreen Viray em uma análise na quinta-feira.
Os ataques observados pela empresa de segurança cibernética envolvem ignorar a autenticação do WhatsUp Gold para explorar o script do PowerShell do Lively Monitor e, por fim, baixar várias ferramentas de acesso remoto para ganhar persistência no host Home windows.
Isso inclui Atera Agent, Radmin, SimpleHelp Distant Entry e Splashtop Distant, com Atera Agent e Splashtop Distant instalados por meio de um único arquivo instalador MSI recuperado de um servidor remoto.
“O processo de pesquisa NmPoller.exe, o executável do WhatsUp Gold, parece ser capaz de hospedar um script chamado Lively Monitor PowerShell Script como uma função legítima”, explicaram os pesquisadores. “Os agentes de ameaça neste caso o escolheram para executar código arbitrário remoto.”
Embora nenhuma ação de exploração subsequente tenha sido detectada, o uso de vários softwares de acesso remoto aponta para o envolvimento de um agente de ransomware.
Esta é a segunda vez que vulnerabilidades de segurança no WhatsUp Gold foram ativamente transformadas em armas na natureza. No início do mês passado, a Shadowserver Basis disse que observou tentativas de exploração contra CVE-2024-4885 (pontuação CVSS: 9,8), outro bug crítico que foi resolvido pela Progress em junho de 2024.
A divulgação ocorre semanas após a Pattern Micro também revelar que agentes de ameaças estão explorando uma falha de segurança corrigida no Atlassian Confluence Information Heart e no Confluence Server (CVE-2023-22527, pontuação CVSS: 10,0) para entregar o shell da net Godzilla.
“A vulnerabilidade CVE-2023-22527 continua sendo amplamente explorada por uma ampla gama de agentes de ameaças que abusam dessa vulnerabilidade para realizar atividades maliciosas, tornando-a um risco de segurança significativo para organizações em todo o mundo”, disse a empresa.
