Kritinės WhatsUp Gold pažeidžiamumas galėjo atverti kelią Ransomware atakoms
Pastaraisiais mėnesiais Progress Software WhatsUp Gold – plačiai naudojamas IT infrastruktūros stebėjimo įrankis – atsidūrė saugumo audros centre. Dvi kritinės spragos, CVE-2024-6670 ir CVE-2024-6671, sukėlė pavojaus varpus visoje kibernetinio saugumo bendruomenėje, ypač dėl galimo jų išnaudojimo vykdant išpirkos reikalaujančių programų atakas . Nors visas šių pažeidžiamumų poveikis vis dar tiriamas, galimas ryšys su nuotoliniu kodo vykdymu ir išpirkos programinės įrangos incidentais paskatino greitas saugumo įmonių ir organizacijų, kurios naudojasi programine įranga, reakciją.
Turinys
Pažeidžiamumas išnaudotas nepaisant pataisų
2024 m. rugpjūčio 16 d. „Progress Software“ įspėjo savo vartotojus apie tris „WhatsUp Gold“ – populiaraus IT tinklų valdymo įrankio – spragas. Tarp jų ypač susirūpino du SQL įpurškimo pažeidžiamumai , leidžiantys neautentifikuotiems užpuolikams pasiekti užšifruotus slaptažodžius. Šiems trūkumams buvo priskirti kritiniai sunkumo laipsniai, atspindintys didelę riziką, kurią jie kelia organizacijoms.
Pažeidžiamumas buvo greitai pataisytas, tačiau, kaip dažnai būna kibernetinio saugumo pasaulyje, laikas yra viskas. Nors pataisos buvo prieinamos, kai kurios organizacijos negalėjo jų laiku pritaikyti. Vos po dviejų savaičių, rugpjūčio 30 d., Summoning Team tyrėjas viešai atskleidė technines detales ir koncepcijos įrodymo (PoC) išnaudojimą šiems pažeidžiamumams. Tą pačią dieną „Trend Micro“ pranešė apie nuotolinio kodo vykdymo atakas, nukreiptas į „WhatsUp Gold“ egzempliorius, o tai rodo, kad PoC galėjo paspartinti bandymus išnaudoti trūkumus.
Ransomware ar nuotolinės prieigos įrankiai?
Nors „Trend Micro“ dar turi galutinai susieti šias atakas su konkrečiu grėsmės veikėju, kelių nuotolinės prieigos įrankių (RAT) naudojimas incidentuose sukėlė įtarimų, kad už išnaudojimą gali slypėti išpirkos reikalaujančių programų grupė. Tiksli grupė lieka nežinoma, tačiau RAT naudojimas yra dažnas niokojančių atakų, tokių kaip išpirkos reikalaujančios programinės įrangos diegimas, kurios pastaraisiais metais tapo pernelyg dažnos, pirmtakas.
Įdomu tai, kad nors JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) greitai įtraukė CVE-2024-6670 į žinomų išnaudotų pažeidžiamumų (KEV) katalogą, agentūra nepatvirtino, ar pažeidžiamumas buvo aktyviai naudojamas vykdant išpirkos reikalaujančių programų kampanijas. CVE-2024-6671, dar vienas esminis trūkumas, dar neįtrauktas į šį sąrašą, todėl kai kurie klausimai apie išnaudojimo mastą liko neatsakyti.
Platesnė pasaulinė ekspozicija
Ypatingą nerimą kelia pasaulinis WhatsUp Gold pasiekiamumas. Internete veikia šimtai programinės įrangos egzempliorių, o didžiausia koncentracija yra Brazilijoje, Indijoje, Tailande ir Jungtinėse Amerikos Valstijose. Šis platus pasiskirstymas reiškia, kad bet kokio sėkmingo naudojimo poveikis gali plisti įvairiose pramonės šakose ir šalyse.
Padidindama sudėtingumą, „Progress Software“ neseniai pataisė kitą „WhatsUp Gold“ pažeidžiamumą, stebimą kaip CVE-2024-4885. Šis trūkumas, nors ir pakankamai rimtas, kad galėtų sukelti visišką sistemos kompromisą, laukinėje gamtoje dar nebuvo išnaudotas, o tai suteikia palengvėjimą tarp besitęsiančio pažeidžiamumo chaoso.
Judėjimas į priekį ir kaip apsaugoti savo sistemas
Kadangi WhatsUp Gold pažeidžiamumas patenka į antraštes, daugeliui organizacijų kyla aiškus klausimas: kaip galime apsisaugoti? Visų pirma, organizacijos, naudojančios WhatsUp Gold, turėtų nedelsdamos pritaikyti naujausius Progress Software pateiktus pataisymus. Tai sumažins CVE-2024-6670 ir CVE-2024-6671 keliamą riziką ir padės užtikrinti, kad užpuolikai negalėtų pasinaudoti šiais kritiniais trūkumais.
Be to, saugos komandos turėtų ieškoti galimų kompromiso rodiklių (IOC), kurie dabar buvo įtraukti į „Progress Software“ patarimą. Neįprastos veiklos stebėjimas, ypač nuotolinės prieigos įrankių (RAT) naudojimas, gali padėti aptikti ataką, kol ji neperauga į išpirkos reikalaujančią situaciją.
Galiausiai, organizacijos turėtų apsvarstyti galimybę įdiegti tinklo segmentavimą ir patikimas atsargines strategijas. Tuo atveju, jei išpirkos reikalaujančios programos pateks į sistemą, gerai segmentuotas tinklas gali apriboti jos plitimą, o patikimos atsarginės kopijos gali užtikrinti, kad svarbiausi duomenys gali būti atkurti nemokant išpirkos.
Budrumas yra raktas
Šių pažeidžiamumų atradimas dar kartą pabrėžia greito pataisymo ir aktyvių kibernetinio saugumo priemonių svarbą. Įvykių laiko juosta, pradedant pataisymu ir baigiant viešu PoC, pabrėžia, kaip greitai užpuolikai gali judėti, kai atskleidžiami nauji pažeidžiamumai. Nors lieka neaišku, ar šie trūkumai tiesiogiai prisidėjo prie išpirkos reikalaujančių programų atakų, galima rizika yra neabejotina.
Būdamos budrios, taikydami pataisas ir stebėdamos, ar nėra įtartinos veiklos, organizacijos gali geriau apsisaugoti nuo grėsmių, tokių kaip CVE-2024-6670 ir CVE-2024-6671. Išpirkos reikalaujančios programos ir toliau vystosi, o tokių kritinių spragų išnaudojimas gali tapti pagrindine priemone kibernetinių nusikaltėlių rankose. Būkite priekyje – taisykite anksti, lopykite dažnai ir būkite budrūs.