Caza de WhatsUp Gold: los hackers atacan, las empresas tardan en actualizar

Los hackers han comenzado a explotar activamente dos vulnerabilidades críticas en el popular software WhatsUp Gold, desarrollado por Progress Software. Esta solución se utiliza ampliamente para monitorear la disponibilidad y el rendimiento de redes en muchas organizaciones.

Las vulnerabilidades , identificadas como CVE-2024-6670 y CVE-2024-6671 , permiten a los atacantes extraer contraseñas cifradas sin necesidad de autenticación. Básicamente, abren una "puerta trasera" en sistemas que deberían estar bien protegidos.

Los ataques comenzaron el 30 de agosto, a pesar de que Progress Software había lanzado parches el 16 de agosto. Muchas organizaciones aún no han actualizado, lo que ha sido aprovechado por los ciberdelincuentes. El descubridor de las vulnerabilidades fue el investigador Sina Kheirkhah. Encontró los problemas el 22 de mayo y los informó a la organización Zero Day Initiative. El 30 de agosto, Kheirkhah publicó una descripción técnica detallada de las fallas junto con ejemplos de exploits.

En su informe, el investigador explica cómo la insuficiente validación de la entrada del usuario permite insertar contraseñas arbitrarias en los campos de las cuentas de administrador, lo que hace que las cuentas sean vulnerables a ser tomadas. La empresa Trend Micro informó que los hackers comenzaron a explotar las vulnerabilidades casi de inmediato después de la publicación de los exploits. Los primeros indicios de ataques se detectaron solo cinco horas después de que el código se hiciera público.

Los atacantes están utilizando una función legítima de WhatsUp Gold llamada Active Monitor PowerShell Script. Con ella, ejecutan scripts maliciosos de PowerShell a través del archivo ejecutable NmPoller.exe, cargándolos desde URLs remotas. Luego, los atacantes usan la utilidad de Windows msiexec.exe para instalar varias herramientas de acceso remoto (RAT). Entre ellas se encuentran Atera Agent, Radmin, SimpleHelp Remote Access y Splashtop Remote. La implementación de estos RAT permite a los atacantes mantener el control sobre los sistemas comprometidos durante mucho tiempo.

En algunos casos, Trend Micro observó la instalación de múltiples programas maliciosos a la vez. Los analistas aún no han podido atribuir estos ataques a un grupo específico, pero el uso de varios RAT sugiere la posible implicación de operadores de ransomware.

Kheirkhah expresó en un comentario a BleepingComputer su esperanza de que sus investigaciones y los exploits publicados eventualmente ayuden a mejorar la seguridad del software en el futuro.

En 2024, este no es el primer caso en que WhatsUp Gold se ve afectado por exploits de acceso público. A principios de agosto, la organización Shadowserver Foundation informó sobre intentos de explotación de la vulnerabilidad CVE-2024-4885, un fallo crítico de ejecución remota de código, revelado el 25 de junio. Esta vulnerabilidad también fue descubierta por Kheirkhah.

Los expertos instan a todas las organizaciones que utilicen WhatsUp Gold a instalar de inmediato las últimas actualizaciones de seguridad y verificar sus sistemas en busca de signos de compromisos.