恶意行为者可能正在利用公开可用的概念验证 (PoC) 漏洞来攻击 Progress Software WhatsUp Gold 中最近披露的安全漏洞,以实施机会性攻击。据称,该活动于 2024 年 8 月 30 日开始,距离召唤团队的安全研究员 Sina Kheirkhah 发布 CVE-2024-6670(CVSS 评分:9.8)的 PoC 仅 5 小时后,他也因发现和报告 CVE-2024-6671(CVSS 评分:9.8)而受到赞誉。这两个关键漏洞都允许未经身份验证的攻击者检索用户的加密密码,Progress 于 2024 年 8 月中旬修补了这两个漏洞。“事件的时间线表明,尽管有补丁可用,但一些组织无法快速应用它们,导致几乎在 PoC 发布后立即发生事件,”趋势科技研究人员 Hitomi Kimura 和 Maria Emreen Viray 在周四的分析中表示。网络安全公司观察到的攻击涉及绕过 WhatsUp Gold 身份验证以利用 Active Monitor PowerShell 脚本,并最终下载各种远程访问工具以在 Windows 主机上获得持久性。这包括 Atera Agent、Radmin、SimpleHelp Remote Access 和 Splashtop Remote,Atera Agent 和 Splashtop Remote 都是通过从远程服务器检索的单个 MSI 安装程序文件安装的。“轮询过程NmPoller.exe,即 WhatsUp Gold 可执行文件,似乎能够将一个名为 Active Monitor PowerShell 脚本的脚本作为合法函数托管,”研究人员解释说。“在这种情况下,威胁行为者选择它来执行远程任意代码。”虽然没有检测到后续的利用操作,但使用几种远程访问软件表明勒索软件参与者参与其中。这是 WhatsUp Gold 中的安全漏洞第二次被广泛利用。上月初,Shadowserver Foundation 表示,它观察到针对 CVE-2024-4885(CVSS 评分:9.8)的利用尝试,这是 Progress 于 2024 年 6 月解决的另一个关键漏洞。几周前,Trend Micro 还透露,威胁行为者正在利用 Atlassian Confluence Data Center 和 Confluence Server 中现已修补的安全漏洞(CVE-2023-22527,CVSS 评分:10.0)来交付 Godzilla Web Shell。该公司表示:“CVE-2023-22527 漏洞继续被广泛的威胁行为者广泛利用,他们滥用此漏洞进行恶意活动,使其成为全球组织的重大安全风险。
