Progress WhatsUp Gold Exploited Just Hours After PoC Release for Critical Flaw
Progress WhatsUp Gold Exploited Just Hours After PoC Release for Critical Flaw
Critical WhatsUp Gold vulnerabilities exploited within hours of PoC release. Attackers bypass authentication to install remote access tools.
thehackernews.com
- 개요
- Progress Software의 WhatsUp Gold에서 최근 발견된 심각한 보안 취약점에 대한 공격 사례가 PoC(개념 증명) 공개 후 몇 시간 내 발생
- 취약점 CVE-2024-6670 및 CVE-2024-6671(CVSS 점수 9.8)은 인증되지 않은 공격자가 사용자의 암호화된 비밀번호를 탈취할 수 있는 위험성을 내포하고 있음
- Progress는 2024년 8월 중순에 해당 취약점에 대한 패치를 제공했으나, PoC 공개 후 5시간 만에 공격이 시작됨
- 주요 공격 방법
- 공격자들은 WhatsUp Gold 인증을 우회한 후, Active Monitor PowerShell Script를 활용해 원격 액세스 도구를 설치하여 지속적 접근을 확보
- Atera Agent, Radmin, SimpleHelp Remote Access, Splashtop Remote 등 원격 액세스 소프트웨어가 설치되었으며, 이는 단일 MSI 설치 파일을 통해 원격 서버에서 다운로드됨
- NmPoller.exe라는 WhatsUp Gold 실행 파일이 PowerShell 스크립트를 호스팅할 수 있는 합법적인 기능을 제공하는 점을 악용
- 취약점 개요
- CVE-2024-6670 및 CVE-2024-6671는 모두 9.8의 CVSS 점수를 받았으며, 인증되지 않은 공격자가 비밀번호를 탈취할 수 있음
- 일부 조직은 패치 적용이 지연되면서 PoC가 공개된 후 즉각적으로 공격에 노출됨
- 악용 사례 및 위험
- 공격자들은 WhatsUp Gold의 취약점을 이용해 원격 액세스 도구를 다운로드하고 실행하여 지속적인 접근 권한을 확보하는 방식으로 랜섬웨어 공격과 연관 가능성을 보임
- 이전에도 WhatsUp Gold에서 CVE-2024-4885(CVSS 점수 9.8) 취약점이 악용된 사례가 보고됨
- Trend Micro는 Atlassian Confluence의 보안 결함 CVE-2023-22527(CVSS 점수 10.0)이 Godzilla 웹 쉘을 배포하기 위한 공격에 사용되고 있다고 밝힘
- 시사점
- 취약점에 대한 빠른 패치 적용이 중요하며, 특히 PoC 공개 후 빠른 공격이 발생하는 사례가 빈번함을 유의해야 함
- 조직들은 취약점을 악용한 원격 액세스 도구 설치 및 랜섬웨어 공격에 대비해 신속한 대응이 필요함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Black Basta Ransomware (1) | 2024.09.22 |
|---|---|
| 북한 해커, 주요 인프라 종사자 대상 트로이 목마 해킹 공격 (0) | 2024.09.22 |
| 핀테크업계, 개인정보 처리방침 재정비 및 정보보호 강화 (1) | 2024.09.22 |
| 디즈니 슬랙 사용 중단 (1) | 2024.09.22 |
| 미연방법원 소송서 드러난 한국방산업체 보안 구멍 (1) | 2024.09.22 |