WhatsUp Gold kapsamlı bir BT altyapı izleme aracıdır. Bu araç öncelikle bulut ve şirket içi ortamlardaki uygulamaların, ağ aygıtlarının ve sunucuların performansına ve durumuna görünürlük sağlamak için tasarlanmıştır.
Trend Micro’daki siber güvenlik araştırmacıları, son zamanlarda bilgisayar korsanlarının Progress WhatsUp Gold RCE güvenlik açığını aktif olarak kullandıklarını keşfetti.
İlerleme WhatsUp RCE Güvenlik Açığı
Saldırılar 30 Ağustos 2024 tarihinden bu yana gözlemlenmiş olup, “CVE-2024-6670” ve “CVE-2024-6671” güvenlik açıklarından yararlanıldığı tespit edilmiştir.
Bunun dışında her iki zafiyet de “Kritik” etiketiyle işaretlendi ve CVSS puanı 9.8 olarak belirlendi.
16 Ağustos’ta açıklanan güvenlik açıkları, kimliği doğrulanmamış saldırganların tek kullanıcı yapılandırmalarında SQL enjeksiyonu yoluyla şifrelenmiş parolaları ele geçirmesine olanak tanıyor.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Saldırganlar, kötü amaçlı kodu yürütmek için NmPoller.exe işlemi içindeki meşru Active Monitor PowerShell Script işlevini kötüye kullandı.
Saldırı örüntüsü, tipik ilk erişim göstergelerini atlatarak doğrudan bir güvenlik açığının istismar edildiğini düşündürüyor.
PowerShell yükü, kötü amaçlı yazılımın “(New-Object System.Net.WebClient).DownloadFile().” gibi flaşlarla diğer kötü amaçlı yazılımları biçmesine olanak tanır.
Trend Micro raporunda saldırganların msiexec.exe dosyasını kullanarak Atera Agent, Radmin RAT, SimpleHelp Remote Access ve Splashtop Remote gibi uzaktan yönetim araçlarını (RAT) yüklemeye çalıştığı belirtiliyor.
Bazı RAT’lar hxxps://fedko gibi sitelerden indirildi[.]org/wp-includes/ID3/kurulum.msi.
Bu operasyonlar Trend Vision One aktivite izleme desteğiyle MXDR ekibi tarafından izlendi.
Henüz şüpheli bilinmemekle birlikte, çok sayıda RAT’ın konuşlandırılmasındaki tehdit, bir fidye yazılımı saldırısına hazırlık ihtimaline işaret ediyor.
16 Ağustos 2024’te WhatsUp Gold için bir güvenlik yaması yayımlandı ve bu yamanın adı geçen “CVE-2024-4885” ve “CVE-2024-6670” güvenlik açıklarının her ikisi için de yama içerdiği belirtildi.
İki hafta sonra, 30 Ağustos’ta, bir kavram kanıtı (PoC) bildirildi ve GitHub’da bulundu. Trend Micro MXDR ekibinin bu güvenlik açığının istismar etkinliğini ilk gözlemleyen kişi olması birkaç saatten fazla sürmedi.
Saldırıda, NmPoller.exe’nin PowerShell programını çalıştırmadan PowerShell komutlarını çalıştırma yeteneğinden yararlanıldı; bu, belirli güvenlik politikalarını atlatmaya yardımcı olabilirdi.
Kritik CVSS puanı 9,8 olan CVE-2024-4885’e maruz kaldığı tespit edilen 1207’den fazla cihaz olduğu bildirildi.
Bu tür risklerden kaçınmak için, kuruluşlar, özellikle ciddi güvenlik açıkları için, bu ürünler için bir PoC mevcut olmasa bile, sürüm yayınlandıktan hemen sonra yamaları uygulamalıdır.
Azaltma önlemleri
Aşağıda tüm hafifletme önlemlerinden bahsettik:
- Kurumsal hizmetleri erişim denetimiyle sınırlayın.
- Ağ oturum açma işlemleri için MFA’yı etkinleştirin.
- Şifreleri kullanın.
- Yamaları derhal uygulayın.
- Güvenli yönetim konsolları/API’leri.
- Güçlü şifreler kullanın.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin