Bir ulus-devlet grubu da dahil olmak üzere çok sayıda tehdit aktörü, ABD’de isimsiz bir federal varlığa girmek için Progress Telerik’teki üç yıllık kritik bir güvenlik açığından yararlandı.
bu açıklama gelen bir ortak danışma Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve Çok Devletli Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) tarafından yayınlanmıştır.
Ajanslar, “Bu güvenlik açığından yararlanılması, kötü niyetli aktörlerin bir federal sivil yürütme şubesi (FCEB) ajansının Microsoft Internet Information Services (IIS) web sunucusunda başarılı bir şekilde uzaktan kod yürütmesine izin verdi.” söz konusu.
Dijital izinsiz girişle ilişkili uzlaşma göstergeleri (IoC’ler), Kasım 2022’den Ocak 2023’ün başına kadar belirlendi.
şu şekilde izlendi: CVE-2019-18935 (CVSS puanı: 9.8), .NET ile ilgili sorun seri kaldırma güvenlik açığı ASP.NET AJAX için Progress Telerik UI’yi etkileyen, yama uygulanmadan bırakılırsa uzaktan kod yürütülmesine yol açar.
Burada, CVE-2019-18935’in daha önce bazıları arasında bir yer bulduğunu belirtmekte fayda var. En yaygın 2020 ve 2021’de çeşitli tehdit aktörleri tarafından kötüye kullanılan güvenlik açıkları.
CVE-2019-18935 ile bağlantılı olarak CVE-2017-11317ayrıca ABD’deki kamu ve özel kuruluşların ağlarına sızmak için Peygamber Devesi (TG2021 olarak da bilinir) olarak izlenen bir tehdit aktörü tarafından silah haline getirildi.
Geçen ay, CISA da eklendi CVE-2017-11357 – Telerik UI’yi etkileyen başka bir uzaktan kod yürütme hatası – Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna, aktif istismarın kanıtlarına atıfta bulunularak.
Tehdit aktörlerinin, PNG görüntüleri gibi görünen kötü amaçlı dinamik bağlantı kitaplığı (DLL) dosyalarını yüklemek ve yürütmek için kusurdan yararlandıkları söyleniyor. w3wp.exe işlemi.
DLL yapıları, sistem bilgilerini toplamak, ek kitaplıklar yüklemek, dosyaları ve işlemleri numaralandırmak ve verileri uzak bir sunucuya geri sızdırmak için tasarlanmıştır.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
Ağustos 2021 gibi erken bir tarihte gözlemlenen ve muhtemelen şu adla anılan bir siber suçlu aktör tarafından düzenlenen başka bir dizi saldırı: XE Grubutespitten kaçınmak için yukarıda belirtilen kaçınma tekniklerinin kullanılmasını gerektirdi.
Bu DLL dosyaları, kalıcı arka kapı erişimi için bir ASPX web kabuğu da dahil olmak üzere ek yükleri bırakmak için bir komut ve kontrol alanıyla şifrelenmemiş iletişim için ters (uzak) kabuk yardımcı programlarını bıraktı ve yürüttü.
Web kabuğu, “sürücüleri numaralandırmak; dosyaları göndermek, almak ve silmek; ve gelen komutları yürütmek” için donatılmıştır ve “sistemdeki dosyalara, dizinlere veya sürücülere kolayca göz atmak için bir arabirim içerir ve kullanıcının veya dosyaları herhangi bir dizine indirin.”
Bu tür saldırılara karşı koymak için kuruluşların Telerik UI ASP.NET AJAX örneklerini en son sürüme yükseltmeleri, ağ segmentasyonu uygulamaları ve ayrıcalıklı erişime sahip hesaplar için kimlik avına dayanıklı çok faktörlü kimlik doğrulamayı zorlamaları önerilir.