TTL OSINT

Защита от RCE-атак, Использующих уязвимости WhatsUp Gold

В статье рассматриваются недавние атаки с удаленным выполнением кода (RCE) на WhatsUp Gold, приложение для мониторинга сети и ИТ-инфраструктуры, предоставляемое Progress Software Corporation. В ходе атак были использованы две уязвимости, CVE-2024-6670 и CVE-2024-6671, которые были раскрыты поставщиком 16 августа и имеют оценку CVSS 9,8, что позволяет предположить возможность RCE. Атаки связаны с использованием вредоносного скрипта, полученного с подозрительного URL-адреса, который выполняется на компьютере, на котором размещен WhatsUp Gold. Для размещения скрипта используется процесс опроса NmPoller.exe, который является законной функцией продукта. Вредоносный код, отправленный злоумышленником, выполняется с помощью NmPoller.exe, перезаписывая произвольную строку в качестве нового пароля. Команда Trend Micro Managed Extended Detection and Response (MXDR) наблюдала за этими атаками в августе 2024 года.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка: https://www.trendmicro.com/en_us/research/24/i/whatsup-gold-rce.html

Примеры признаков компромисса:

• http://185.123.100.160/access/Remote
• 185.123.100.160
• https://fedko.org/wp-includes/ID3/setup.msi
• 992974377793c2479065358b358bb3788078970dacc7c50b495061ccc4507b90
• 6daa94a36c8ccb9442f40c81a18b8501aa360559865f211d72a74788a1bbf3ce

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал