Aktor jahat kemungkinan memanfaatkan eksploitasi bukti konsep (PoC) yang tersedia untuk publik untuk kelemahan keamanan yang baru-baru ini diungkapkan di Progress Software WhatsUp Gold untuk melakukan serangan oportunistik.
Aktivitas tersebut dikatakan telah dimulai pada tanggal 30 Agustus 2024, hanya lima jam setelah PoC dirilis untuk CVE-2024-6670 (skor CVSS: 9,8) oleh peneliti keamanan Sina Kheirkhah dari Tim Pemanggilan, yang juga berjasa menemukan dan melaporkan CVE-2024-6671 (skor CVSS: 9,8).
Kedua kerentanan kritis, yang memungkinkan penyerang yang tidak diautentikasi untuk mengambil kata sandi terenkripsi milik pengguna, telah ditambal oleh Progress pada pertengahan Agustus 2024.
“Garis waktu kejadian menunjukkan bahwa meskipun patch tersedia, beberapa organisasi tidak dapat menerapkannya dengan cepat, yang menyebabkan insiden segera setelah publikasi PoC,” kata peneliti Trend Micro Hitomi Kimura dan Maria Emreen Viray dalam analisis pada hari Kamis.
Serangan yang diamati oleh perusahaan keamanan siber melibatkan penghindaran autentikasi WhatsUp Gold untuk mengeksploitasi Skrip PowerShell Monitor Aktif dan akhirnya mengunduh berbagai alat akses jarak jauh untuk mendapatkan persistensi pada host Windows.
Ini termasuk Atera Agent, Radmin, SimpleHelp Remote Access, dan Splashtop Remote, dengan Atera Agent dan Splashtop Remote diinstal melalui satu file penginstal MSI yang diambil dari server jarak jauh.
“Proses polling NmPoller.exe, yang merupakan file yang dapat dieksekusi WhatsUp Gold, tampaknya dapat menjadi host skrip yang disebut Active Monitor PowerShell Script sebagai fungsi yang sah,” para peneliti menjelaskan. “Pelaku ancaman dalam kasus ini memilihnya untuk melakukan eksekusi kode arbitrer jarak jauh.”
Meskipun tidak ada tindakan eksploitasi lanjutan yang terdeteksi, penggunaan beberapa perangkat lunak akses jarak jauh menunjukkan keterlibatan aktor ransomware.
Ini adalah kedua kalinya kerentanan keamanan di WhatsUp Gold secara aktif dijadikan senjata di alam liar. Awal bulan lalu, Shadowserver Foundation mengatakan telah mengamati upaya eksploitasi terhadap CVE-2024-4885 (skor CVSS: 9,8), bug kritis lain yang telah diatasi oleh Progress pada bulan Juni 2024.
Pengungkapan ini muncul beberapa minggu setelah Trend Micro juga mengungkapkan bahwa pelaku ancaman mengeksploitasi kelemahan keamanan yang kini telah ditambal di Atlassian Confluence Data Center dan Confluence Server (CVE-2023-22527, skor CVSS: 10.0) untuk mengirimkan cangkang web Godzilla.
“Kerentanan CVE-2023-22527 terus dieksploitasi secara luas oleh berbagai pelaku ancaman yang menyalahgunakan kerentanan ini untuk melakukan aktivitas jahat, sehingga menjadikannya risiko keamanan yang signifikan bagi organisasi di seluruh dunia,” kata perusahaan itu.