Χάκερς έχουν εκμεταλλευτεί το public exploit για δύο κρίσιμα ελαττώματα του δικτύου διαθεσιμότητας και παρακολούθησης απόδοσης WhatsUp Gold της Progress Software.

Δείτε επίσης: Η Adobe διορθώνει zero-day ευπάθεια στο Acrobat Reader (με PoC exploit)

Τα δύο ελαττώματα που χρησιμοποιήθηκαν σε επιθέσεις από τις 30 Αυγούστου είναι ευπάθειες SQL injection που παρακολουθούνται ως CVE-2024-6670 και CVE-2024-6671, οι οποίες επιτρέπουν την ανάκτηση κρυπτογραφημένων κωδικών πρόσβασης χωρίς έλεγχο ταυτότητας.

Παρά το γεγονός ότι ο προμηθευτής αντιμετώπισε τα ζητήματα ασφαλείας πριν από περισσότερες από δύο εβδομάδες, πολλοί οργανισμοί εξακολουθούν να πρέπει να ενημερώσουν το λογισμικό και οι φορείς απειλών εκμεταλλεύονται αυτή την καθυστέρηση.

Το Progress Software κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση των προβλημάτων στις 16 Αυγούστου και πρόσθεσε οδηγίες για τον εντοπισμό πιθανών παραβιάσεων σε ένα ενημερωτικό δελτίο ασφαλείας στις 10 Σεπτεμβρίου.

Ο ερευνητής ασφαλείας Sina Kheirkhah (@SinSinology), ανακάλυψε τα ελαττώματα και τα ανέφερε στην Zero Day Initiative (ZDI) στις 22 Μαΐου. Στις 30 Αυγούστου, ο ερευνητής δημοσίευσε τα proof-of-concept (PoC) των exploit.

Δείτε ακόμα: Ρώσοι hackers χρησιμοποιούν exploits που δημιούργησαν οι NSO Group και Intellexa

Ο ερευνητής εξηγεί μέσω του public exploit πώς να αξιοποιήσετε ένα ελάττωμα στις εισόδους των χρηστών για να εισάγετε αυθαίρετους κωδικούς στο πεδίο κωδικών πρόσβασης των λογαριασμών διαχειριστή WhatsUp Gold, καθιστώντας τους έτσι ευάλωτους σε παραβίαση.

Μια αναφορά σήμερα από την εταιρεία κυβερνοασφάλειας Trend Micro σημειώνει ότι οι χάκερ έχουν αρχίσει να εκμεταλλεύονται τα ελαττώματα και με βάση τις παρατηρήσεις, φαίνεται ότι οι επιθέσεις βασίζονται στα PoC του Kheirkhah για παράκαμψη ελέγχου ταυτότητας και πρόσβαση στο στάδιο απομακρυσμένης εκτέλεσης κώδικα και ανάπτυξης ωφέλιμου φορτίου.

Η τηλεμετρία της εταιρείας ασφαλείας εντόπισε τα πρώτα σημάδια ενεργητικής εκμετάλλευσης πέντε ώρες αφότου ο ερευνητής δημοσίευσε τον κώδικα εκμετάλλευσης PoC.

Οι εισβολείς αξιοποιούν τη νόμιμη λειτουργία Active Monitor PowerShell Script του WhatsUp Gold για την εκτέλεση πολλαπλών σεναρίων PowerShell μέσω του NmPoller.exe, που έχουν ανακτηθεί από απομακρυσμένες διευθύνσεις URL.

Δείτε επίσης: Angler Exploit Kit: Αμοιβή για στοιχεία σχετικά με Λευκορώσο hacker

Η εκμετάλλευση κώδικα (exploit code) είναι ένα πρόγραμμα ή σενάριο που εκμεταλλεύεται μια ευπάθεια ή αδυναμία σε ένα σύστημα υπολογιστή ή δίκτυο. Τα public exploit μπορούν να χρησιμοποιηθούν από επιτιθέμενους, όπως στην περίπτωση του WhatsUp Gold, για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση, να παραβιάσουν δεδομένα ή να προκαλέσουν καταρρεύσεις συστημάτων. Η κατανόηση του τρόπου λειτουργίας των exploits είναι κρίσιμη για την ασφάλεια των πληροφοριών, καθώς επιτρέπει στους ειδικούς να εντοπίζουν ευπάθειες και να εφαρμόζουν κατάλληλες λύσεις ασφαλείας για την προστασία συστημάτων και χρηστών.

Πηγή: bleepingcomputer