Kwaadwillende partijen maken waarschijnlijk gebruik van openbaar beschikbare proof-of-concept (PoC)-exploits voor onlangs onthulde beveiligingslekken in Progress Software WhatsUp Gold om opportunistische aanvallen uit te voeren.
De activiteit zou zijn begonnen op 30 augustus 2024, slechts vijf uur nadat beveiligingsonderzoeker Sina Kheirkhah van het Summoning Team een PoC had vrijgegeven voor CVE-2024-6670 (CVSS-score: 9,8). Zij wordt ook gecrediteerd voor het ontdekken en melden van CVE-2024-6671 (CVSS-score: 9,8).
Beide kritieke kwetsbaarheden, waarmee een niet-geverifieerde aanvaller het versleutelde wachtwoord van een gebruiker kan achterhalen, werden medio augustus 2024 door Progress gepatcht.
“De tijdlijn van de gebeurtenissen suggereert dat sommige organisaties, ondanks de beschikbaarheid van patches, deze niet snel konden toepassen. Dit leidde vrijwel direct na de publicatie van de PoC tot incidenten”, aldus Trend Micro-onderzoekers Hitomi Kimura en Maria Emreen Viray in een analyse op donderdag.
De aanvallen die het cyberbeveiligingsbedrijf heeft waargenomen, omvatten het omzeilen van de WhatsUp Gold-verificatie om het Active Monitor PowerShell Script te misbruiken en uiteindelijk verschillende hulpmiddelen voor externe toegang te downloaden om persistentie op de Windows-host te verkrijgen.
Dit omvat Atera Agent, Radmin, SimpleHelp Remote Access en Splashtop Remote, waarbij zowel Atera Agent als Splashtop Remote worden geïnstalleerd via één enkel MSI-installatiebestand dat wordt opgehaald van een externe server.
“Het pollingproces NmPoller.exe, het uitvoerbare bestand van WhatsUp Gold, lijkt een script genaamd Active Monitor PowerShell Script te kunnen hosten als een legitieme functie,” legden de onderzoekers uit. “De dreigingsactoren kozen er in dit geval voor om het uit te voeren voor willekeurige code-uitvoering op afstand.”
Hoewel er geen vervolgexploitaties zijn gedetecteerd, wijst het gebruik van verschillende softwareprogramma’s voor toegang op afstand op de betrokkenheid van een ransomware-actor.
Dit is de tweede keer dat beveiligingskwetsbaarheden in WhatsUp Gold actief als wapen in het wild zijn gebruikt. Begin vorige maand zei de Shadowserver Foundation dat het exploitatiepogingen had waargenomen tegen CVE-2024-4885 (CVSS-score: 9,8), een andere kritieke bug die in juni 2024 door Progress werd opgelost.
De onthulling volgt enkele weken nadat Trend Micro eerder al onthulde dat kwaadwillenden misbruik maken van een inmiddels gepatchte beveiligingsfout in Atlassian Confluence Data Center en Confluence Server (CVE-2023-22527, CVSS-score: 10,0) om de Godzilla-webshell te leveren.
“De kwetsbaarheid CVE-2023-22527 wordt nog steeds op grote schaal uitgebuit door een groot aantal cybercriminelen die deze kwetsbaarheid misbruiken om schadelijke activiteiten uit te voeren. Hierdoor vormt het een aanzienlijk beveiligingsrisico voor organisaties over de hele wereld”, aldus het bedrijf.