Gần đây, các lỗ hổng bảo mật nghiêm trọng trong sản phẩm WhatsUp Gold của Progress Software đã được phát hiện đang bị khai thác POC trong thực tế, có khả năng liên quan đến các cuộc tấn công ransomware.
Thông tin chi tiết
Vào ngày 16/8, Progress Software đã thông báo cho khách hàng về ba lỗ hổng trong sản phẩm giám sát cơ sở hạ tầng IT WhatsUp Gold.
Hai trong số đó được đánh giá mức độ nghiêm trọng "critical", có mã CVE-2024-6670 và CVE-2024-6671. Đây là các lỗ hổng SQL injection cho phép kẻ tấn công không cần xác thực có thể truy xuất mật khẩu đã mã hóa của người dùng.
Chi tiết về các lỗ hổng:
CVE-2024-6670
Loại Lỗ Hổng: SQL Injection
Mức Độ Nguy Hiểm (CVSSv3): 9.8 (Critical)
Mô Tả Kỹ Thuật: Lỗ hổng này cho phép kẻ tấn công không cần xác thực thực hiện các câu lệnh SQL tùy ý. Thông qua đó, họ có thể truy xuất mật khẩu đã mã hóa của người dùng từ cơ sở dữ liệu của hệ thống.
Điều Kiện Khai Thác: Không yêu cầu xác thực. Kẻ tấn công chỉ cần có khả năng truy cập vào giao diện web của WhatsUp Gold.
CVE-2024-6671
Loại Lỗ Hổng: SQL Injection
Mức Độ Nguy Hiểm (CVSSv3): 9.8 (Critical)
Mô Tả Kỹ Thuật: Tương tự như CVE-2024-6670, lỗ hổng này cũng cho phép thực hiện SQL injection mà không cần xác thực. Nó có thể được sử dụng để truy xuất thông tin nhạy cảm, bao gồm mật khẩu đã mã hóa của người dùng.
Điều Kiện Khai Thác: Không yêu cầu xác thực. Kẻ tấn công chỉ cần có khả năng truy cập vào giao diện web của WhatsUp Gold.
CVE-2024-4885
Loại Lỗ Hổng: Thực thi mã từ xa (Remote Code Execution)
Mức Độ Nguy Hiểm (CVSSv3): 9.8 (Critical) - ước tính dựa trên mức độ nghiêm trọng được mô tả
Mô Tả Kỹ Thuật: Lỗ hổng này có thể dẫn đến việc kiểm soát hoàn toàn hệ thống. Nó cho phép kẻ tấn công thực thi mã tùy ý trên máy chủ đang chạy WhatsUp Gold, từ đó có thể thực hiện các hành động với quyền hạn cao nhất trên hệ thống.
Điều Kiện Khai Thác: Chưa có thông tin chi tiết, nhưng có thể yêu cầu một số quyền truy cập ban đầu vào hệ thống hoặc khai thác kết hợp với các lỗ hổng khác.
Tình hình khai thác:
Ngày 30/8, một nhà nghiên cứu từ Summoning Team đã công bố chi tiết kỹ thuật và mã khai thác PoC cho hai lỗ hổng này.
Trend Micro cũng đã phát hiện các cuộc tấn công thực thi mã từ xa nhắm vào các hệ thống WhatsUp Gold, nhiều khả năng đã tận dụng CVE-2024-6670 và CVE-2024-6671.
Các cuộc tấn công này đã cố gắng triển khai nhiều công cụ truy cập từ xa (RAT). Trend Micro chưa xác định được nhóm tấn công cụ thể, nhưng việc sử dụng nhiều RAT cho thấy có thể liên quan đến một nhóm ransomware.
CISA đã thêm CVE-2024-6670 vào danh sách Lỗ hổng Đã Biết Bị Khai Thác (KEV), nhưng chưa xác nhận việc khai thác trong các cuộc tấn công ransomware. Progress Software gần đây đã bổ sung phần "các chỉ số xâm nhập tiềm năng" vào cảnh báo của họ.
Khuyến nghị
Phía FPT Threat Intelligence khuyến nghị:
Các tổ chức sử dụng WhatsUp Gold - Progress Software cần khẩn trương áp dụng bản vá mới nhất từ phiên bản 24.0.0 trở lên.
Kiểm tra hệ thống để phát hiện các dấu hiệu xâm nhập tiềm năng.
Tăng cường giám sát các hoạt động bất thường trên hệ thống.
Hạn chế quyền truy cập từ internet vào các hệ thống WhatsUp Gold nếu có thể.
Tham khảo
VulnerabilitiesRecent WhatsUp Gold Vulnerabilities Possibly Exploited in Ransomware Attacks <https://www.securityweek.com/recent-whatsup-gold-vulnerabilities-possibly-exploited-in-ransomware-attacks/>
WhatsUp Gold Security Bulletin– August 2024 <https://community.progress.com/s/article/WhatsUp-Gold-Security-Bulletin-August-2024>