Tehdit aktörlerinin, ASP.NET AJAX ve Advantive Veracore için İlerleme Telerik UI dahil olmak üzere çeşitli yazılım ürünlerinde birden fazla güvenlik kusurundan yararlandığı gözlemlenmiştir, geri kabukları ve web kabuklarını düşürmek ve tehlikeye atılan sistemlere kalıcı uzaktan erişimi sürdürmektedir.
Veracore’daki güvenlik kusurlarının sıfır gün sömürülmesi, en az 2010’dan beri aktif olduğu bilinen Vietnam kökenli bir siber suç grubu olan XE Group olarak bilinen bir tehdit aktörüne atfedildi.
Siber güvenlik firması Intenzer, “XE Grubu, kredi kartı sıyırmadan hedeflenen bilgi hırsızlığına geçti, operasyonel önceliklerinde önemli bir değişime işaret etti.” söz konusu Solis Security ile işbirliği içinde yayınlanan bir raporda.
“Saldırıları artık imalat ve dağıtım sektörlerindeki tedarik zincirlerini hedef alarak yeni güvenlik açıklarından ve gelişmiş taktiklerden yararlanıyor.”
Söz konusu güvenlik açıkları aşağıda listelenmiştir –
- CVE-2024-57968 (CVSS Puanı: 9.9) – Uzak kimlik doğrulamalı kullanıcıların dosyaları istenmeyen klasörlere yüklemesine izin veren tehlikeli bir tür güvenlik açığı ile sınırsız bir dosya yüklemesi (Veracore sürüm 2024.4.2.1)
- CVE-2025-25181 (CVSS Puanı: 5.8) – Uzak saldırganların keyfi SQL komutlarını yürütmesine izin veren bir SQL enjeksiyon güvenlik açığı (yama yok)
Intezer ve Solis Security’nin son bulguları, eksikliklerin konuşlandırılacak şekilde zincirlendiğini gösteriyor Aspxspy Enfekte sistemlere yetkisiz erişim için web mermileri, bir örnekte 2020’nin başlarına kadar CVE-2025-25181’den yararlanıyor. Sömürü faaliyeti Kasım 2024’te keşfedildi.
Web mermileri, dosya sistemini numaralandırmak, dosyaları eklemek ve 7Z gibi araçları kullanarak sıkıştırma özellikleri ile donatılmıştır. Erişim ayrıca, aktör kontrollü bir sunucuya bağlanmaya çalışan bir metre presyon yükünü düşürmek için istismar edilmektedir (“222.253.102[.]94: 7979 “) Windows Socket aracılığıyla.
Web kabuğunun güncellenmiş varyantı, kritik bilgileri çıkarmak veya mevcut verileri değiştirmek için ağ taramasını, komut yürütmeyi ve SQL sorgularını çalıştırmak için çeşitli özellikler içerir.
XE Grubu tarafından monte edilen önceki saldırılar, bilinen güvenlik açıklarını silahlandırmış olsa da, ASP.NET için Telerik UI’deki kusurlar (CVE-2017-9248 Ve CVE-2019-18935CVSS skorları: 9.8), geliştirme, hack ekibinin ilk kez sıfır gün sömürüsüne atfedildiğini ve bu da sofistike bir artış olduğunu gösteriyor.
Araştırmacılar Nicole Fishbein, Joakim Kennedy ve Justin Lentz, “İlk konuşlandırmadan yıllar sonra bir web kabuğunun yeniden etkinleştirilmesinde görüldüğü gibi, sistemlere sürekli erişimi sürdürme yetenekleri, grubun uzun vadeli hedeflere olan bağlılığını vurguluyor.” Dedi.
“Üretim ve dağıtım sektörlerindeki tedarik zincirlerini hedefleyerek, XE Group sadece operasyonlarının etkisini en üst düzeye çıkarmakla kalmaz, aynı zamanda sistemik güvenlik açıklarının akut bir anlayışını gösterir.”
2021 yılında İngiltere ve ABD devlet kurumları tarafından en çok sömürülen güvenlik açıklarından biri olarak işaretlenen CVE-2019-18935, geçen ay olduğu gibi bir ters kabuk yüklemek ve CMD aracılığıyla takip keşif komutlarını yürütmek için aktif sömürü altına girmiştir. .exe.
“ASP.NET AJAX için Telerik UI için Güvenlik Açığı Telerik kullanıcı arayüzü birkaç yaşında olsa da, tehdit aktörleri için uygun bir giriş noktası olmaya devam ediyor,” söz konusu. Diyerek şöyle devam etti: “Bu, özellikle internete maruz kalacaklarsa, yama sistemlerinin önemini vurgulamaktadır.”
CISA, Kev Kataloğuna 5 Kusur ekler
Geliştirme, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) olarak geliyor eklemek Bilinen sömürülen güvenlik açıklarında beş güvenlik kusuru (Kev) aktif sömürü kanıtlarına dayanarak katalog.
- CVE-2025-0411 (CVSS Puanı: 7.0) – Web Bypass Güvenlik Açığı 7 -Zip İşareti
- CVE-2022-23748 (CVSS Puanı: 7.8) – Dante Keşif Süreci Kontrolü Güvenlik Açığı
- CVE-2024-21413 (CVSS Puanı: 9.8) – Microsoft Outlook Uygunsuz Giriş Doğrulama Güvenlik Açığı
- CVE-2020-29574 (CVSS Puanı: 9.8) – Siberoamos (CROS) SQL enjeksiyon güvenlik açığı
- CVE-2020-15069 (CVSS Puanı: 9.8) – Sophos XG Güvenlik Duvarı Tampon Taşma Güvenlik Açığı
Geçen hafta, Trend Micro, Rus siber suç kıyafetlerinin, Smokeloader kötü amaçlı yazılımını Ukraynalı varlıkları hedefleyen mızrak aktı kampanyalarının bir parçası olarak dağıtmak için CVE-2025-0411’den yararlandığını açıkladı.
Öte yandan, CVE-2020-29574 ve CVE-2020-15069’un sömürülmesi, Sophos tarafından Pasifik Rim’i altındaki Sophos tarafından izlenen bir Çin casusluk kampanyasıyla bağlantılıdır.
Şu anda kontrol noktası ile MonikerLink olarak da izlenen CVE-2024-21413’ün vahşi doğada nasıl kullanıldığı hakkında hiçbir rapor yok. CVE-2022-23748’e gelince, siber güvenlik şirketi açıklanmış 2022’nin sonlarında, toddycat tehdit oyuncusunu, Audinat’ta DLL yan yükleme kırılganlığından yararlanarak gözlemledi Dante Keşfi (“mdnsresonder.exe”).
Federal sivil yürütme şubesi (FCEB) Ajanslar, aktif tehditlere karşı korunmak için 27 Şubat 2025’e kadar gerekli güncellemeleri bağlama Operasyonel Direktifi (BOD) 22-01 altında uygulamak için zorunludur.
(Hikaye, yayından sonra CVE-2024-57968’in Veracore sürüm 2024.4.2.1’de yamalı olduğunu ve Veracode sürüm 2024.4.2.1.)
