今天看啥  ›  专栏  ›  嘶吼专业版

黑客自 8 月以来频繁利用公开漏洞攻击 WhatsUp Gold

嘶吼专业版  · 公众号  · 互联网安全  · 2024-09-18 14:00
    

主要观点总结

本文报道了黑客利用Progress Software的WhatsUp Gold网络监控解决方案中的两个严重漏洞CVE-2024-6670和CVE-2024-6671进行攻击的事件。尽管Progress Software已发布安全更新和说明,但黑客仍利用这些漏洞发起攻击。攻击者利用NmPoller.exe运行多个PowerShell脚本,并植入多个远程访问工具(RAT),在受感染的系统上建立持久性。

关键观点总结

关键观点1: 黑客利用WhatsUp Gold中的两个SQL注入漏洞进行攻击。

CVE-2024-6670和CVE-2024-6671漏洞允许未经身份验证的情况下检索加密密码,攻击者可利用这些漏洞绕过身份验证并进入远程代码执行和有效载荷部署阶段。

关键观点2: Progress Software已发布安全更新和说明。

Progress Software于8月16日发布了针对该问题的安全更新,并在9月10日的安全公告中添加了如何检测潜在危害的说明。

关键观点3: 攻击者利用WhatsUp Gold的合法功能进行攻击。

攻击者利用合法的Active Monitor PowerShell Script功能,通过从远程URL检索的NmPoller.exe运行多个PowerShell脚本,并部署恶意脚本。

关键观点4: 攻击者植入远程访问工具(RAT)以建立持久性。

攻击者使用合法的Windows实用程序“msiexec.exe”通过MSI包安装各种远程访问工具,如Atera Agent、Radmin、SimpleHelp Remote Access和Splashtop Remote。这些工具使攻击者在受感染的系统上建立持久性。

关键观点5: 这不是WhatsUp Gold今年的第一次遭受公开漏洞的攻击。

8月初,Shadowserver Foundation报告了利用CVE-2024-4885的攻击。这个漏洞也是由Kheirkhah发现的,他于两周后在社交媒体上公布了完整的详细信息。


免责声明:本文内容摘要由平台算法生成,仅为信息导航参考,不代表原文立场或观点。 原文内容版权归原作者所有,如您为原作者并希望删除该摘要或链接,请通过 【版权申诉通道】联系我们处理。

原文地址: 访问原文地址 (快捷配置)
总结与预览地址:访问文章预览/总结
文章地址: 访问文章快照