Para peretas telah memanfaatkan kode eksploitasi yang tersedia untuk publik untuk dua kerentanan kritis dalam solusi pemantauan ketersediaan dan kinerja jaringan WhatsUp Gold dari Progress Software.
Dua kelemahan yang dieksploitasi dalam serangan sejak 30 Agustus adalah kerentanan injeksi SQL yang dilacak sebagai CVE-2024-6670 Dan CVE-2024-6671 yang memungkinkan pengambilan kata sandi terenkripsi tanpa autentikasi.
Meskipun vendor telah mengatasi masalah keamanan lebih dari dua minggu lalu, banyak organisasi masih harus memperbarui perangkat lunak dan pelaku ancaman memanfaatkan penundaan tersebut.
Progress Software merilis pembaruan keamanan untuk mengatasi masalah tersebut pada tanggal 16 Agustus dan menambahkan instruksi tentang cara mendeteksi potensi kompromi dalam buletin keamanan pada tanggal 10 September.
Peneliti keamanan Sina Kheirkhah (@SinSinologi) yang menemukan kekurangan tersebut dan melaporkannya ke Zero Day Initiative (ZDI) pada tanggal 22 Mei. Pada tanggal 30 Agustus, peneliti diterbitkan eksploitasi bukti konsep (PoC).
Peneliti menjelaskan dalam tulisan teknis tentang cara memanfaatkan masalah sanitasi yang tidak tepat pada masukan pengguna untuk memasukkan kata sandi sembarangan ke dalam kolom kata sandi akun administrator, sehingga membuatnya rentan terhadap pengambilalihan.
Sumber: summoning.team
Eksploitasi di alam liar
A laporan hari ini dari perusahaan keamanan siber Trend Micro mencatat bahwa peretas telah mulai mengeksploitasi kerentanan dan berdasarkan pengamatan, tampaknya serangan tersebut didasarkan pada PoC Kheirkhah untuk melewati autentikasi dan mencapai tahap eksekusi kode jarak jauh serta penyebaran muatan.
“Peneliti Trend Micro mengidentifikasi serangan eksekusi kode jarak jauh pada WhatsUp Gold yang mengeksploitasi Skrip PowerShell Monitor Aktif sejak 30 Agustus” – Trend Micro
Telemetri firma keamanan menangkap tanda-tanda pertama eksploitasi aktif lima jam setelah peneliti menerbitkan kode eksploitasi PoC.
Para penyerang memanfaatkan fungsi Skrip PowerShell Monitor Aktif WhatsUp Gold yang sah untuk menjalankan beberapa skrip PowerShell melalui NmPoller.exe, yang diambil dari URL jarak jauh.
Sumber: Trend Micro
Selanjutnya, penyerang menggunakan utilitas Windows yang sah ‘msiexec.exe’ untuk menginstal berbagai alat akses jarak jauh (RAT) melalui paket MSI, termasuk Atera Agent, Radmin, SimpleHelp Remote Access, dan Splashtop Remote.
Penanaman RAT ini memungkinkan penyerang untuk membangun persistensi pada sistem yang disusupi. Dalam beberapa kasus, Trend Micro mengamati penyebaran beberapa muatan.
Para analis tidak dapat menghubungkan serangan ini ke kelompok ancaman tertentu, tetapi penggunaan beberapa RAT menunjukkan bahwa serangan ini bisa jadi dilakukan oleh pelaku ransomware.
Sumber: Trend Micro
Dalam komentarnya pada BleepingComputer, Kheirkhah mengucapkan terima kasih kepada ZDI dan menyatakan harapan bahwa tulisannya dan PoC pada akhirnya akan membantu meningkatkan keamanan produk yang terkena dampak di masa mendatang.
Ini bukan pertama kalinya WhatsUp Gold menjadi sasaran eksploitasi yang tersedia untuk publik tahun ini.
Pada awal Agustus, organisasi pemantauan ancaman Yayasan Shadowserver melaporkan bahwa honeypotnya menangkap upaya untuk mengeksploitasi CVE-2024-4885, kelemahan eksekusi kode jarak jauh kritis yang diungkapkan pada tanggal 25 Juni 2024.
Cacat itu juga ditemukan oleh Kheirkhah, yang menerbitkan rincian lengkap di blognya dua minggu kemudian.
