Een misleidende proof-of-concept (PoC)-exploit voor CVE-2024-49113 (ook bekend als LDAPNightmare) op GitHub infecteert gebruikers met infostealer-malware. Die exfiltreert gevoelige gegevens naar een externe FTP-server.
Dit meldt BleepingComputer. De toegepaste tactiek is niet nieuw, aangezien er meerdere gedocumenteerde gevallen zijn van schadelijke tools die zich voordoen als PoC-exploits op GitHub. Deze specifieke zaak, ontdekt door Trend Micro, laat zien dat dreigingsactoren de tactiek blijven gebruiken om nietsvermoedende gebruikers te misleiden en hen zichzelf met malware te laten infecteren.
Trend Micro meldt dat de kwaadaardige GitHub-repository een project bevat dat afkomstig lijkt te zijn van de legitieme PoC van SafeBreach Labs voor CVE-2024-49113, gepubliceerd op 1 januari 2025.
De kwetsbaarheid is een van de twee die van invloed zijn op het Windows Lightweight Directory Access Protocol (LDAP). Microsoft heeft dit verholpen in de Patch Tuesday van december 2024. De andere betreft een kritieke remote code execution (RCE)-kwetsbaarheid. Die duidt men aan als CVE-2024-49112.
Foute vermelding
De oorspronkelijke blogpost van SafeBreach over de PoC vermeldde ten onrechte CVE-2024-49112, terwijl hun PoC eigenlijk betrekking had op CVE-2024-49113. Dit is een minder ernstige denial-of-service-kwetsbaarheid.
Deze fout, zelfs toen die later werd gecorrigeerd, creëerde meer interesse en ophef rond LDAPNightmare en de potentiële aanvallen. Dit was waarschijnlijk de bedoeling van de dreigingsactoren.
Gebruikers die de PoC van de kwaadaardige repository downloaden, ontvangen een UPX-gepakte uitvoerbare poc.exe. Die plaatst een PowerShell-script in de %Temp%-map van het slachtoffer.
Het script maakt een geplande taak op het gecompromitteerde systeem, die een gecodeerd script uitvoert dat een derde script van Pastebin ophaalt. Deze laatste payload verzamelt informatie over de computer, processen, directorylijsten, IP-adres en netwerkinformatie, evenals geïnstalleerde updates. Vervolgens uploadt het deze gegevens in de vorm van een ZIP-archief naar een externe FTP-server met behulp van hardcoded inloggegevens. Een lijst met indicators of compromise voor deze aanval is hier te vinden.
GitHub-gebruikers die openbare exploits gebruiken voor onderzoek of testen, moeten voorzichtig te werk gaan. En bij voorkeur alleen vertrouwen op cybersecuritybedrijven. En op onderzoekers met een goede reputatie.
Dreigingsactoren hebben in het verleden geprobeerd zich voor te doen als bekende beveiligingsonderzoekers, dus het valideren van de authenticiteit van repositories is ook cruciaal.