Новости Охота на WhatsUp Gold: хакеры атакуют, компании медлят с обновлениями

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Две уязвимости позволяют извлекать зашифрованные пароли без аутентификации.


lp9gbljgv2jbgmez0pbo7h75bzysijt9.jpg


Хакеры начали активно эксплуатировать две критические уязвимости в популярном программном обеспечении WhatsUp Gold, разработанном компанией Progress Software. Это решение широко используется для мониторинга доступности и производительности сетей во многих организациях.

Уязвимости, получившие идентификаторы Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся , позволяют злоумышленникам извлекать зашифрованные пароли без аутентификации. По сути, они открывают «черный ход» в системы, которые должны быть надежно защищены.

Атаки начались 30 августа, несмотря на то что Progress Software выпустила патчи еще 16 августа. Многие организации до сих пор не обновились, чем и пользуются киберпреступники. Первооткрывателем уязвимостей стал исследователь Сина Хейрхах. Он обнаружил проблемы еще 22 мая и сообщил о них в организацию Zero Day Initiative. 30 августа Хейрхах опубликовал подробное техническое описание брешей вместе с примерами эксплойтов.

В своем отчете исследователь Для просмотра ссылки Войди или Зарегистрируйся , как недостаточная проверка пользовательского ввода позволяет вставлять произвольные пароли в поля учетных записей администраторов. Это и делает аккаунты уязвимыми для захвата. Компания Для просмотра ссылки Войди или Зарегистрируйся , что хакеры начали эксплуатировать уязвимости почти сразу после публикации эксплойтов. Первые признаки атак были зафиксированы уже через пять часов после появления кода в открытом доступе.

Злоумышленники используют легитимную функцию WhatsUp Gold под названием Active Monitor PowerShell Script. С ее помощью они запускают вредоносные скрипты PowerShell через исполняемый файл NmPoller.exe, загружая их с удаленных URL-адресов. Далее атакующие применяют встроенную утилиту Windows msiexec.exe для установки различных инструментов удаленного доступа (RAT). Среди них Atera Agent, Radmin, SimpleHelp Remote Access и Splashtop Remote. Внедрение этих RAT позволяет закрепиться в скомпрометированных системах надолго.

В некоторых случаях Trend Micro наблюдала установку сразу нескольких вредоносных программ. Аналитики пока не смогли приписать эти атаки конкретной группировке, но использование множества RAT указывает на возможную причастность операторов программ-вымогателей.

Хейрхах в комментарии изданию Для просмотра ссылки Войди или Зарегистрируйся выразил надежду, что его исследования и опубликованные эксплойты в конечном итоге помогут повысить безопасность ПО в будущем.

В 2024 году это не первый случай, когда WhatsUp Gold оказывается под ударом публично доступных эксплойтов. В начале августа организация Shadowserver Foundation сообщила о попытках эксплуатации уязвимости Для просмотра ссылки Войди или Зарегистрируйся , критической ошибки удаленного выполнения кода, раскрытой 25 июня. Эту уязвимость также обнаружил Хейрхах.

Эксперты призывают все организации, использующие WhatsUp Gold, немедленно установить последние обновления безопасности и проверить свои системы на признаки компрометации.
 
Источник новости
www.securitylab.ru

Похожие темы