Geçen yıl, bir ABD Federal Ajansı'nın Microsoft Internet Bilgi Hizmetleri (IIS) Web Sunucusu, ASP.NET AJAX bileşeni için İlerleme TELERIK UI'sinde kritik bir .NET seansizasyon kırılganlığından yararlanarak saldırıya uğradı.
Bugün CISA, FBI ve MS-ISAC tarafından yayınlanan ortak bir danışmana göre, saldırganlar, isimsiz federal sivil yürütme şubesinde bulunan uzlaşma göstergelerine (IOCS) dayanarak Kasım 2022 ile Ocak 2023 arasında sunucuya erişebildiler. ) Ajansın ağı.
En az iki tehdit aktörü (bunlardan biri Vietnam XE grubu), uzaktan kod yürütme kazanmak için bu hatayı (CVE-2019-18935) kullanarak eşleştirilmemiş sunucuya erişti.
İsimsiz Federal Sivil Yürütme Şubesi (FCEB) ajansının sunucusuna hackledikten sonra, saldırgan kontrollü komuta ve kontrol sunucularına bilgi toplamak ve sunmak için C: \ Windows \ Temp \ klasörüne kötü amaçlı yükler kullandılar.
Meydan okulu IIS sunucusuna yüklenen kötü amaçlı yazılım, ek yükler dağıtabilir, sistem üzerindeki izlerini silerek algılamadan kaçınabilir ve kalıcılığı korumak için ters kabuklar açabilir.
Ayrıca, yerel sisteme göz atmak, dosyaları indirmek ve yüklemek ve uzak komutları yürütmek için bir arayüz sağlayan bir ASPX Web kabuğunu bırakmak için de kullanılabilir.
Bununla birlikte, danışmanlıkta ayrıntılı olarak açıklandığı gibi, "muhtemelen istismar edilmiş hizmet hesabının kısıtlayıcı yazma izinlerine sahip olması nedeniyle hedef sistemde hiçbir web kabuğu bırakılmadığı görülmemiştir."
Hacklenen Microsoft IIS sunucularına yüklenen kötü amaçlı yazılım hakkında daha fazla bilgi, bugün CISA tarafından da yayınlanan bu kötü amaçlı yazılım analiz raporunda bulunabilir.
CVE-2019-18935 Telerik UI güvenlik açığı, NSA'nın Çinli bilgisayar korsanları tarafından istismar edilen en iyi 25 güvenlik hatasına ve FBI'ın en iyi hedeflenen güvenlik açıkları listesine dahil edildi.
CISA, Kasım 2021'de bilinen sömürülen güvenlik açıkları (KEV) kataloğuna CVE-2019-18935 İlerleme Telerik UI güvenlik açığı ekledi.
Kasım 2021'de yayınlanan ve Federal Ajansların önerilen eylemleri uygulamak için CISA'nın KEV listesine gerektiren bağlayıcı operasyonel direktife (BOD 22-01) göre, 3 Mayıs 2022'ye kadar yamalı olmalıdır.
Ancak, bu ihlalle bağlantılı IOC'lere dayanarak, ABD federal ajansı, bitiş tarihine ulaşılana kadar Microsoft IIS sunucusunu güvence altına alamadı.
CISA, FBI ve MS-ISAC, bu kırılganlığı hedefleyen diğer saldırılara karşı koruma sağlamak için birden fazla hafifletme önlemi uygulamasını tavsiye eder:
Üç kuruluş da, "CISA, FBI ve MS-ISAC, hafifletme uygulamasının yanı sıra, kuruluşunuzun güvenlik programını bu danışmadaki kurumsal çerçeve için Gönmecisi ATT & CK ile eşleştirilen tehdit davranışlarına karşı egzersiz yapmayı, test etmeyi ve doğrulamayı önerdi."
"CISA, FBI ve MS-ISAC, güvenlik programınızı, bu danışmada tanımlanan MITER ATT & CK tekniklerine karşı optimum performans sağlamak için bir üretim ortamında sürekli olarak test etmenizi önerir."
Hackerlar Backdoor Microsoft IIS Sunucuları Yeni Frebniis kötü amaçlı yazılım
Cisa, sıfır gün olarak sömürülen Adobe Coldfusion Bug hakkında uyarıyor
CISA şimdi fidye yazılımı ile ilgili cihazların kritik altyapısını uyarıyor
Cisa, LastPass ihlalinden sonra aktif olarak sömürülen plex hatası konusunda uyarıyor
CISA, kritik VMware RCE Kusurunu Saldırılarda Sömürülen uyarıyor
Kaynak: Bleeping Computer