해커들이 Progress WhatsUp Gold 취약점을 악용

해커들은 인기 있는 IT 인프라 모니터링 도구인 Progress WhatsUp Gold의 중요한 원격 코드 실행(RCE) 취약성을 적극적으로 악용하고 있습니다. 이 공격은 2024년 8월 30일에 시작되었는데, 이는 개념 증명(PoC) 익스플로잇이 공개된 지 몇 시간 후였습니다. CVE-2024-6671 및 CVE-2024-4885로 식별된 이 취약성은 인증되지 않은 공격자가 단일 사용자 구성에서 SQL 주입을 통해 암호화된 비밀번호를 검색할 수 있도록 합니다.

두 가지 결함 모두 CVSS에서 9.8의 심각한 점수를 받았습니다.

Trend Micro의 연구원들은 공격자가 NmPoller.exe 프로세스 내의 합법적인 Active Monitor PowerShell Script 기능을 남용하여 악성 코드를 실행했다는 것을 발견했습니다. 이 기술을 통해 일반적인 초기 액세스 지표를 우회하여 취약성을 직접 악용할 수 있었습니다. 공격자는 PowerShell 페이로드를 사용하여 msiexec.exe를 사용하여 Atera Agent, Radmin RAT, SimpleHelp Remote access, Splashtop Remote와 같은 다양한 원격 관리 도구(RAT)를 설치했습니다.

그들은 hxxps://fedko(.)org/wp-includes/ID3/setup.msi와 같은 사이트에서 이러한 RAT를 다운로드하려고 시도했습니다.

해커들이 WhatsUp Gold 결함을 악용

Progress는 2024년 8월 16일에 두 가지 취약점에 대한 보안 패치를 출시했습니다.

그러나 8월 30일 PoC가 출시된 이후의 빠른 악용은 일부 조직이 패치를 충분히 신속하게 적용하지 못했음을 시사합니다. 1,200개 이상의 기기가 CVE-2024-4885에 노출된 것으로 밝혀졌습니다. 공격자가 여러 RAT를 배포한 것은 랜섬웨어 공격에 대한 잠재적인 준비를 나타냅니다.

이러한 위험을 완화하기 위해 조직은 특히 심각한 취약성의 경우 릴리스 직후 패치를 적용하는 것이 좋습니다. 다른 권장 조치로는 기업 서비스에 대한 액세스 제한, 네트워크 로그인에 대한 다중 요소 인증(MFA) 활성화, 강력한 암호 및 패스키 사용, 관리 콘솔 및 API 보안 등이 있습니다. WhatsUp Gold 취약성의 신속한 악용은 정교한 RCE 공격으로부터 방어하기 위해 시기적절한 패치 관리와 강력한 모니터링의 중요성을 강조합니다.

영향을 받는 소프트웨어를 사용하는 조직은 경계를 늦추지 말고 적극적인 조치를 취해 사이버보안 태세를 강화해야 합니다.