Múltiples actores de amenazas, incluido un grupo de estado-nación, explotaron una falla de seguridad crítica de hace tres años en Progress Telerik para ingresar a una entidad federal no identificada en los EE. UU.
El divulgación viene de un asesoramiento conjunto emitido por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC).
«La explotación de esta vulnerabilidad permitió a los actores malintencionados ejecutar con éxito código remoto en el servidor web de Microsoft Internet Information Services (IIS) de la agencia del poder ejecutivo civil federal (FCEB)», dijeron las agencias. dicho.
Los indicadores de compromiso (IoC) asociados con la irrupción digital se identificaron desde noviembre de 2022 hasta principios de enero de 2023.
rastreado como CVE-2019-18935 (puntuación CVSS: 9,8), el problema relacionado con un .NET vulnerabilidad de deserialización que afecta a la interfaz de usuario de Progress Telerik para ASP.NET AJAX que, si no se corrige, podría conducir a la ejecución remota de código.
Vale la pena señalar aquí que CVE-2019-18935 ha encontrado previamente un lugar entre algunos de los más comúnmente vulnerabilidades explotadas abusadas por varios actores de amenazas en 2020 y 2021.
CVE-2019-18935, en conjunto con CVE-2017-11317también ha sido armado por un actor de amenazas rastreado como Praying Mantis (también conocido como TG2021) para infiltrarse en las redes de organizaciones públicas y privadas en los EE. UU.
El mes pasado, CISA también agregó CVE-2017-11357 – otro error de ejecución remota de código que afecta a la interfaz de usuario de Telerik – al catálogo de vulnerabilidades conocidas explotadas (KEV), citando evidencia de explotación activa.
Se dice que los actores de amenazas aprovecharon la falla para cargar y ejecutar archivos maliciosos de biblioteca de enlaces dinámicos (DLL) disfrazados de imágenes PNG a través de la proceso w3wp.exe.
Los artefactos DLL están diseñados para recopilar información del sistema, cargar bibliotecas adicionales, enumerar archivos y procesos, y filtrar los datos a un servidor remoto.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
Otro conjunto de ataques, observado ya en agosto de 2021 y probablemente montado por un actor ciberdelincuente denominado Grupo XEimplicaba el uso de técnicas de evasión antes mencionadas para eludir la detección.
Estos archivos DLL soltaron y ejecutaron utilidades de shell inversas (remotas) para comunicaciones sin cifrar con un dominio de comando y control para soltar cargas útiles adicionales, incluido un shell web ASPX para acceso persistente de puerta trasera.
El shell web está equipado para «enumerar unidades; enviar, recibir y eliminar archivos; y ejecutar comandos entrantes» y «contiene una interfaz para buscar fácilmente archivos, directorios o unidades en el sistema, y permite al usuario cargar o descargar archivos a cualquier directorio».
Para contrarrestar tales ataques, se recomienda que las organizaciones actualicen sus instancias de Telerik UI ASP.NET AJAX a la última versión, implementen la segmentación de la red y apliquen la autenticación multifactor resistente al phishing para las cuentas que tienen acceso privilegiado.