Em 16 de agosto de 2024, a Progress Software Corporation divulgou três vulnerabilidades de injecção SQL no WhatsUp Gold, ferramenta de monitorização de rede para servidores, dispositivos e aplicações. As vulnerabilidades CVE-2024-6670 e CVE-2024-6671, (que classificadas como críticas), permitem que atacantes não autenticados obtenham passwords de utilizadores. Por seu lado, a CVE-2024-6672 possibilita que um invasor autenticado eleve privilégios alterando a senha de um utilizador privilegiado.

Em 30 de agosto de 2024, foi publicado um código de prova de conceito (PoC) para a CVE-2024-6670, resultando em tentativas de exploração observadas. A Microsoft detectou o grupo Storm-1175, conhecido por ransomware Medusa, explorando essas vulnerabilidades do WhatsUp Gold.

Tecnologias Afectadas

• Versões do WhatsUp Gold anteriores à 24.0.0.

Descrição das Vulnerabilidades

As vulnerabilidades CVE-2024-6670 e CVE-2024-6671 são de injecção SQL e têm uma pontuação de severidade de 9.8 (Crítico). Já a CVE-2024-6672, com pontuação 8.8 (Alta), permite escalonamento de privilégios.

Recomendações:

1. Actualizar para o WhatsUp Gold 24.0.0.

2. Implementar autenticação multifatorial em sistemas de monitorização remota.

4. Habilitar regras de redução de superfície de ataque contra ransomware.

Detecções

Alertas de atividades suspeitas incluem:

• Criação de contas suspeitas

• Adição suspeita de administrador local

• Conexões suspeitas com softwares de gestão remota.