- 13,885
- 20
- 8 Ноя 2022
Две уязвимости позволяют извлекать зашифрованные пароли без аутентификации.
Хакеры начали активно эксплуатировать две критические уязвимости в популярном программном обеспечении WhatsUp Gold, разработанном компанией Progress Software. Это решение широко используется для мониторинга доступности и производительности сетей во многих организациях.
Уязвимости, получившие идентификаторы Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся , позволяют злоумышленникам извлекать зашифрованные пароли без аутентификации. По сути, они открывают «черный ход» в системы, которые должны быть надежно защищены.
Атаки начались 30 августа, несмотря на то что Progress Software выпустила патчи еще 16 августа. Многие организации до сих пор не обновились, чем и пользуются киберпреступники. Первооткрывателем уязвимостей стал исследователь Сина Хейрхах. Он обнаружил проблемы еще 22 мая и сообщил о них в организацию Zero Day Initiative. 30 августа Хейрхах опубликовал подробное техническое описание брешей вместе с примерами эксплойтов.
В своем отчете исследователь Для просмотра ссылки Войдиили Зарегистрируйся , как недостаточная проверка пользовательского ввода позволяет вставлять произвольные пароли в поля учетных записей администраторов. Это и делает аккаунты уязвимыми для захвата. Компания Для просмотра ссылки Войди или Зарегистрируйся , что хакеры начали эксплуатировать уязвимости почти сразу после публикации эксплойтов. Первые признаки атак были зафиксированы уже через пять часов после появления кода в открытом доступе.
Злоумышленники используют легитимную функцию WhatsUp Gold под названием Active Monitor PowerShell Script. С ее помощью они запускают вредоносные скрипты PowerShell через исполняемый файл NmPoller.exe, загружая их с удаленных URL-адресов. Далее атакующие применяют встроенную утилиту Windows msiexec.exe для установки различных инструментов удаленного доступа (RAT). Среди них Atera Agent, Radmin, SimpleHelp Remote Access и Splashtop Remote. Внедрение этих RAT позволяет закрепиться в скомпрометированных системах надолго.
В некоторых случаях Trend Micro наблюдала установку сразу нескольких вредоносных программ. Аналитики пока не смогли приписать эти атаки конкретной группировке, но использование множества RAT указывает на возможную причастность операторов программ-вымогателей.
Хейрхах в комментарии изданию Для просмотра ссылки Войдиили Зарегистрируйся выразил надежду, что его исследования и опубликованные эксплойты в конечном итоге помогут повысить безопасность ПО в будущем.
В 2024 году это не первый случай, когда WhatsUp Gold оказывается под ударом публично доступных эксплойтов. В начале августа организация Shadowserver Foundation сообщила о попытках эксплуатации уязвимости Для просмотра ссылки Войдиили Зарегистрируйся , критической ошибки удаленного выполнения кода, раскрытой 25 июня. Эту уязвимость также обнаружил Хейрхах.
Эксперты призывают все организации, использующие WhatsUp Gold, немедленно установить последние обновления безопасности и проверить свои системы на признаки компрометации.
Хакеры начали активно эксплуатировать две критические уязвимости в популярном программном обеспечении WhatsUp Gold, разработанном компанией Progress Software. Это решение широко используется для мониторинга доступности и производительности сетей во многих организациях.
Уязвимости, получившие идентификаторы Для просмотра ссылки Войди
Атаки начались 30 августа, несмотря на то что Progress Software выпустила патчи еще 16 августа. Многие организации до сих пор не обновились, чем и пользуются киберпреступники. Первооткрывателем уязвимостей стал исследователь Сина Хейрхах. Он обнаружил проблемы еще 22 мая и сообщил о них в организацию Zero Day Initiative. 30 августа Хейрхах опубликовал подробное техническое описание брешей вместе с примерами эксплойтов.
В своем отчете исследователь Для просмотра ссылки Войди
Злоумышленники используют легитимную функцию WhatsUp Gold под названием Active Monitor PowerShell Script. С ее помощью они запускают вредоносные скрипты PowerShell через исполняемый файл NmPoller.exe, загружая их с удаленных URL-адресов. Далее атакующие применяют встроенную утилиту Windows msiexec.exe для установки различных инструментов удаленного доступа (RAT). Среди них Atera Agent, Radmin, SimpleHelp Remote Access и Splashtop Remote. Внедрение этих RAT позволяет закрепиться в скомпрометированных системах надолго.
В некоторых случаях Trend Micro наблюдала установку сразу нескольких вредоносных программ. Аналитики пока не смогли приписать эти атаки конкретной группировке, но использование множества RAT указывает на возможную причастность операторов программ-вымогателей.
Хейрхах в комментарии изданию Для просмотра ссылки Войди
В 2024 году это не первый случай, когда WhatsUp Gold оказывается под ударом публично доступных эксплойтов. В начале августа организация Shadowserver Foundation сообщила о попытках эксплуатации уязвимости Для просмотра ссылки Войди
Эксперты призывают все организации, использующие WhatsUp Gold, немедленно установить последние обновления безопасности и проверить свои системы на признаки компрометации.
- Источник новости
- www.securitylab.ru
