Критичні вразливості WhatsUp Gold, можливо, проклали шлях до атак програм-вимагачів
Останніми місяцями WhatsUp Gold від Progress Software — широко використовуваний інструмент моніторингу ІТ-інфраструктури — опинився в центрі безпеки. Дві критичні вразливості, CVE-2024-6670 і CVE-2024-6671, викликали тривогу в спільноті кібербезпеки, зокрема через їх потенційне використання в атаках програм-вимагачів . Хоча повний вплив цих уразливостей ще досліджується, можливий зв’язок із віддаленим виконанням коду та інцидентами програм-вимагачів спонукав швидку реакцію як з боку фірм безпеки, так і з організацій, які покладаються на програмне забезпечення.
Зміст
Уразливості використовуються незважаючи на виправлення
16 серпня 2024 року Progress Software попередила своїх користувачів про три вразливості в WhatsUp Gold, популярному інструменті для керування ІТ-мережами. Серед них дві уразливості SQL-ін’єкцій викликали особливе занепокоєння, дозволяючи неавтентифікованим зловмисникам отримати доступ до зашифрованих паролів. Цим недолікам було присвоєно критичні рейтинги серйозності, що відображає значний ризик, який вони становлять для організацій.
Уразливості були швидко виправлені, але, як це часто буває у світі кібербезпеки, час вирішує все. Хоча виправлення були доступні, деякі організації не змогли застосувати їх вчасно. Всього через два тижні, 30 серпня, дослідник із Summoning Team публічно оприлюднив технічні деталі та перевірку концепції (PoC) використання цих вразливостей. Того самого дня Trend Micro повідомила про атаки віддаленого виконання коду, націлені на екземпляри WhatsUp Gold, що вказує на те, що PoC, можливо, прискорив спроби використання недоліків.
Програмне забезпечення-вимагач чи засоби віддаленого доступу?
Незважаючи на те, що компанія Trend Micro ще не встановила остаточного зв’язку між цими атаками та конкретною загрозою, використання в інцидентах кількох інструментів віддаленого доступу (RAT) викликало підозри, що за цим може стояти група програм-вимагачів. Точна група залишається невідомою, але використання RAT є звичайним попередником більш руйнівних атак, таких як розгортання програм-вимагачів, які стали дуже поширеними в останні роки.
Цікаво, що хоча Агентство з кібербезпеки та безпеки інфраструктури США (CISA) швидко додало CVE-2024-6670 до свого каталогу Known Exploited Vulnerabilities (KEV), агентство не підтвердило, чи ця вразливість активно використовувалася в кампаніях програм-вимагачів. CVE-2024-6671, ще один критичний недолік, ще не включено до цього списку, тому деякі запитання щодо масштабів використання залишаються без відповіді.
Більш широкий глобальний вплив
Особливе занепокоєння викликає глобальне охоплення WhatsUp Gold. Сотні примірників програмного забезпечення доступні в Інтернеті, з найбільшою концентрацією в Бразилії, Індії, Таїланді та Сполучених Штатах. Таке широке поширення означає, що вплив будь-якої успішної експлуатації може поширюватися на широкий спектр галузей і країн.
Програмне забезпечення Progress Software нещодавно виправило ще одну вразливість у WhatsUp Gold, яка відстежується як CVE-2024-4885. Цей недолік, хоч і досить серйозний, щоб потенційно призвести до повного зламу системи, ще не використовувався в дикій природі, пропонуючи проблиск полегшення серед триваючого хаосу вразливостей.
Рух вперед і як захистити свої системи
З огляду на те, що вразливі місця в WhatsUp Gold стають заголовками газет, для багатьох організацій постає зрозуміле питання: як ми можемо захистити себе? Перш за все, організації, які використовують WhatsUp Gold, повинні негайно застосувати останні виправлення, надані Progress Software. Це зменшить ризики, пов’язані з CVE-2024-6670 і CVE-2024-6671, і допоможе гарантувати, що зловмисники не зможуть скористатися цими критичними недоліками.
Крім того, команди безпеки повинні шукати потенційні індикатори компрометації (IOC), які зараз додано до порад Progress Software. Відстеження незвичайної активності, зокрема використання інструментів віддаленого доступу (RAT), може допомогти виявити атаку до того, як вона переросте в ситуацію з програмою-вимагачем.
Нарешті, організації повинні розглянути впровадження сегментації мережі та надійних стратегій резервного копіювання. Якщо програмне забезпечення-вимагач все-таки проникне в систему, наявність добре сегментованої мережі може обмежити його поширення, а надійні резервні копії гарантуватимуть відновлення критично важливих даних без сплати викупу.
Пильність — це ключ
Виявлення цих вразливостей ще раз підкреслює важливість швидкого виправлення та проактивних заходів кібербезпеки. Хронологія подій, від виправлення до публічного PoC, підкреслює, наскільки швидко можуть рухатися зловмисники, коли виявляються нові вразливості. Хоча залишається незрозумілим, чи ці недоліки безпосередньо сприяли атакам програм-вимагачів, потенційний ризик незаперечний.
Залишаючись пильними, застосовуючи виправлення та відстежуючи підозрілу активність, організації можуть краще захистити себе від загроз, подібних до загроз CVE-2024-6670 і CVE-2024-6671. Програмне забезпечення-вимагач продовжує розвиватися, і використання подібних критичних уразливостей може стати ключовим інструментом у руках кіберзлочинців. Будьте попереду — виправляйте рано, часто та будьте пильними.