ثغرة أمنية كارثية تكشف عن ضعف عملة WhatsUp
تم اكتشاف ثغرات خطيرة، والتي تسمح للمهاجم غير المصادق باسترداد كلمة المرور المشفرة للمستخدم. مصححة بواسطة التقدم في منتصف أغسطس 2024
WhatsUp…من المحتمل أن تستفيد الجهات الفاعلة الخبيثة من عمليات استغلال إثبات المفهوم (PoC) المتاحة للجمهور للثغرات الأمنية التي تم الكشف عنها مؤخرًا في برنامج Progress Softwat WhatsUp Gold للقيام بهجمات انتهازية.
ويقال إن النشاط قد بدأ في 30 أغسطس 2024، أي بعد خمس ساعات فقط من إثبات المفهوم. مطلق سراحه ل CVE-2024-6670 (درجة CVSS: 9.8) للباحث الأمني سينا خيرخاه من فريق الاستدعاء، والذي يُنسب إليه أيضًا الاكتشاف والإبلاغ CVE-2024-6671 (درجات CVSS: 9.8).
تم اكتشاف ثغرات خطيرة، والتي تسمح للمهاجم غير المصادق باسترداد كلمة المرور المشفرة للمستخدم. مصححة بواسطة التقدم في منتصف
“يشير الجدول الزمني للأحداث إلى أنه على الرغم من توفر التصحيحات، فإن بعض المؤسسات لم تتمكن من تطبيقها بسرعة، مما أدى إلى وقوع حوادث مباشرة بعد نشر إثبات المفهوم،” هذا ما قاله باحثا تريند مايكرو، هيتومي كيمورا وماريا إمرين فيراي. قال في تحليل الخميس
تتضمن الهجمات التي لاحظتها شركة الأمن السيبراني تجاوز مصادقة WhatsUp Gold لاستغلال Active Monitor PowerShell Script وتنزيل العديد من أدوات الوصول عن بعد في النهاية للحصول على الثبات على مضيف Windows.
يتضمن ذلك Atera Agent، وRadmin، وSimpleHelp Remote Access، وSplashtop Remote، مع تثبيت كل من Atera Agent وSplashtop Remote عن طريق ملف تثبيت MSI واحد تم استرداده من خادم بعيد.
وأوضح الباحثون أن “عملية الاقتراع NmPoller.exe، الملف القابل للتنفيذ WhatsUp Gold، تبدو قادرة على استضافة برنامج نصي يسمى Active Monitor PowerShell Script كوظيفة مشروعة”. “اختار ممثلو التهديد في هذه الحالة تنفيذ تعليمات برمجية عشوائية عن بعد.”
على الرغم من أنه لم يتم الكشف عن أي إجراءات استغلال لاحقة، فإن استخدام العديد من برامج الوصول عن بعد يشير إلى تورط جهة فاعلة في برامج الفدية.
هذه هي المرة الثانية التي يتم فيها استخدام الثغرات الأمنية في WhatsUp Gold كسلاح بشكل فعال. في أوائل الشهر الماضي، قالت مؤسسة Shadowserver إنها لاحظت محاولات استغلال ضد CVE-2024-4885 (درجة CVSS: 9.8)، وهو خطأ خطير آخر تم حله بواسطة Progress في يونيو 2024.
ويأتي هذا الكشف بعد أسابيع من كشف تريند مايكرو أيضًا أن الجهات الفاعلة في مجال التهديد تستغل ثغرة أمنية تم تصحيحها الآن في مركز بيانات Atlassian Confluence Data Center وConfluence Server (CVE-2023-22527، درجة CVSS: 10.0) لتقديم غلاف الويب Godzilla.
وقالت الشركة: “لا يزال يتم استغلال الثغرة الأمنية CVE-2023-22527 على نطاق واسع من قبل مجموعة واسعة من الجهات الفاعلة التي تستغل هذه الثغرة الأمنية للقيام بأنشطة ضارة، مما يجعلها تشكل خطرًا أمنيًا كبيرًا على المؤسسات في جميع أنحاء العالم”. قال.