您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
利用同一漏洞,多個黑客組織入侵美國聯(lián)邦機構(gòu)
近日,多個威脅行為者,包括一個民族國家組織,利用Progress Telerik中存在三年的嚴重安全漏洞闖入美國一個未命名的聯(lián)邦實體。
該披露來自網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)、聯(lián)邦調(diào)查局(FBI)和多州信息共享與分析中心(MS-ISAC)發(fā)布的聯(lián)合咨詢。
“利用此漏洞允許惡意行為者在聯(lián)邦文職行政部門(FCEB)機構(gòu)的Microsoft Internet 信息服務(wù)(IIS) Web 服務(wù)器上成功執(zhí)行遠程代碼?!边@些機構(gòu)表示。
從2022年11月到2023年1月初,確定了與數(shù)字入侵相關(guān)的妥協(xié)指標(IoC)。
跟蹤為CVE-2019-18935(CVSS分數(shù):9.8),該問題與影響ASP.NET AJAX的Progress Telerik UI的.NET反序列化漏洞有關(guān),如果不打補丁,可能會導(dǎo)致遠程代碼執(zhí)行。
在此值得注意的是,CVE-2019-18935之前曾在2020年和2021年被各種威脅參與者濫用的一些最常利用的漏洞中占有一席之地。
CVE-2019-18935與CVE-2017-11317一起,也被追蹤為Praying Mantis(又名TG2021)的威脅行為者武器化,以滲透到美國的公共和私人組織網(wǎng)絡(luò)。
上個月,CISA還將CVE-2017-11357——另一個影響 Telerik UI 的遠程代碼執(zhí)行錯誤——添加到已知被利用漏洞(KEV)目錄中,引用了積極利用的證據(jù)。
在2022年8月記錄的針對FCEB機構(gòu)的入侵中,據(jù)說威脅行為者利用CVE-2019-18935 通過 w3wp.exe 進程上傳和執(zhí)行偽裝成 PNG 圖像的惡意動態(tài)鏈接庫(DLL)文件。
DLL工件旨在收集系統(tǒng)信息、加載額外的庫、枚舉文件和進程,并將數(shù)據(jù)泄露回遠程服務(wù)器。
早在2021年8月就觀察到的另一組攻擊很可能是由名為XE Group的網(wǎng)絡(luò)犯罪分子發(fā)起的,需要使用上述規(guī)避技術(shù)來規(guī)避檢測。
這些DLL文件投放并執(zhí)行反向(遠程)shell實用程序,用于與命令和控制域進行未加密的通信,以投放額外的有效負載,包括用于持久后門訪問的ASPX web shell。
Web shell配備了“枚舉驅(qū)動器;發(fā)送、接收和刪除文件;以及執(zhí)行傳入的命令”和“包含一個用于輕松瀏覽系統(tǒng)上的文件、目錄或驅(qū)動器的界面,并允許用戶上傳或?qū)⑽募螺d到任何目錄?!?/span>
為應(yīng)對此類攻擊,建議組織將其 Telerik UI ASP.NET AJAX 實例升級到最新版本,實施網(wǎng)絡(luò)分段,并對具有特權(quán)訪問權(quán)限的帳戶強制實施抗網(wǎng)絡(luò)釣魚的多因素身份驗證。
來源:E安全