13/09/24
Это решение широко используется для мониторинга доступности и производительности сетей во многих организациях.
Уязвимости, получившие идентификаторы CVE-2024-6670 и CVE-2024-6671 , позволяют злоумышленникам извлекать зашифрованные пароли без аутентификации. По сути, они открывают «черный ход» в системы, которые должны быть надежно защищены, пишет Securitylab.
Атаки начались 30 августа, несмотря на то что Progress Software выпустила патчи еще 16 августа. Многие организации до сих пор не обновились, чем и пользуются киберпреступники. Первооткрывателем уязвимостей стал исследователь Сина Хейрхах. Он обнаружил проблемы еще 22 мая и сообщил о них в организацию Zero Day Initiative. 30 августа Хейрхах опубликовал подробное техническое описание брешей вместе с примерами эксплойтов.
В своем отчете исследователь объясняет, как недостаточная проверка пользовательского ввода позволяет вставлять произвольные пароли в поля учетных записей администраторов. Это и делает аккаунты уязвимыми для захвата. Компания Trend Micro сообщила , что хакеры начали эксплуатировать уязвимости почти сразу после публикации эксплойтов. Первые признаки атак были зафиксированы уже через пять часов после появления кода в открытом доступе.
Злоумышленники используют легитимную функцию WhatsUp Gold под названием Active Monitor PowerShell Script. С ее помощью они запускают вредоносные скрипты PowerShell через исполняемый файл NmPoller.exe, загружая их с удаленных URL-адресов. Далее атакующие применяют встроенную утилиту Windows msiexec.exe для установки различных инструментов удаленного доступа (RAT). Среди них Atera Agent, Radmin, SimpleHelp Remote Access и Splashtop Remote. Внедрение этих RAT позволяет закрепиться в скомпрометированных системах надолго.
В некоторых случаях Trend Micro наблюдала установку сразу нескольких вредоносных программ. Аналитики пока не смогли приписать эти атаки конкретной группировке, но использование множества RAT указывает на возможную причастность операторов программ-вымогателей.
