Федералната агенция на САЩ е хакната с помощта на стар бъг на Telerik

Миналата година уеб сървърът на Microsoft Internet Information Services (IIS) на федерална агенция на САЩ беше хакнат чрез използване на критична уязвимост при десериализацията на .NET в компонента Progress Telerik UI for ASP.NET AJAX.

Според съвместна консултация, публикувана днес от CISA, ФБР и MS-ISAC, нападателите са имали достъп до сървъра между ноември 2022 г. и началото на януари 2023 г. въз основа на индикатори за компрометиране (IOC), открити в мрежата на неназованата федерална гражданска изпълнителна агенция (FCEB).

Поне двамаизвършители (един от тях – виетнамската група XE) са получили достъп до непоправения сървър, като са използвали този бъг (CVE-2019-18935), за да получат отдалечено изпълнение на код.

След като са хакнали сървъра на неназованата федерална гражданска изпълнителна агенция (FCEB), те са разположили зловредни полезни товари в папката C:\Windows\Temp\, за да събират и изнасят информация към контролирани от нападателите сървъри за командване и контрол.

Зловредният софтуер, инсталиран на компрометирания IIS сървър, може да разгръща допълнителни полезни товари, избягвайки откриването чрез изтриване на следите си в системата и отваряне на обратни обвивки, за да поддържа устойчивост.

Той би могъл да се използва и за пускане на уеб обвивка ASPX, която осигурява интерфейс за сърфиране в локалната система, изтегляне и качване на файлове и изпълнение на отдалечени команди.

Въпреки това, както е описано подробно в консултацията, „не е наблюдавано пускане на уеб обвивки в целевата система, вероятно поради това, че злоупотребеният служебен акаунт има ограничителни права за запис“.

Повече информация за зловредния софтуер, инсталиран на хакнатите сървъри Microsoft IIS, можете да намерите в този доклад за анализ на зловреден софтуер, също публикуван днес от CISA.

Уязвимостта CVE-2019-18935 Telerik UI беше включена и в списъка на NSA с 25-те най-използвани от китайски хакери грешки в сигурността и в списъка на ФБР с най-използваните уязвимости.

Сървърът на Microsoft IIS е изложен на атаки

През ноември 2021 г. CISA добави уязвимостта в сигурността на потребителския интерфейс на Progress Telerik UI CVE-2019-18935 в своя каталог на известните експлоатирани уязвимости (KEV).

Съгласно издадената през ноември 2021 г. задължителна оперативна директива (BOD 22-01), която изисква от федералните агенции към списъка KEV на CISA да прилагат препоръчителни действия, тя е трябвало да бъде поправена до 3 май 2022 г.

Въпреки това, въз основа на свързаните с това нарушение IOC, федералната агенция на САЩ не е успяла да защити своя сървър Microsoft IIS до изтичането на крайния срок.

CISA, ФБР и MS-ISAC съветват да се приложат множество мерки за смекчаване на последиците, за да се предпазят от други атаки, насочени към тази уязвимост, като някои от основните мерки включват

  • Обновете всички единици на Telerik UI ASP.NET AJAX до най-новата версия след подходящо тестване.
  • Наблюдавайте и анализирайте дневниците за дейността, генерирани от Microsoft IIS и отдалечения PowerShell.
  • Ограничете служебните акаунти до минималните разрешения, необходими за стартиране на услугите.
  • Приоритизирайте отстраняването на уязвимостите в системите, насочени към интернет.
  • Внедрете решение за управление на пачовете, за да осигурите съответствие с най-новите актуализации за сигурност.
  • Уверете се, че скенерите за уязвимости са конфигурирани да сканират цялостен обхват от устройства и местоположения.
  • Приложете мрежова сегментация, за да разделите мрежовите сегменти въз основа на роля и функционалност.

 

„В допълнение към прилагането на мерки за намаляване на заплахите CISA, ФБР и MS-ISAC препоръчват да упражнявате, тествате и валидирате програмата за сигурност на вашата организация спрямо поведението на заплахите, съпоставено с рамката MITRE ATT&CK for Enterprise в тази консултация“, препоръчват още трите организации.

„CISA, ФБР и MS-ISAC препоръчват непрекъснато да тествате програмата си за сигурност в голям мащаб в производствена среда, за да осигурите оптимална ефективност спрямо техниките на MITRE ATT&CK, посочени в тази консултация.“

Източник: По материали от Интернет

Подобни публикации

20 март 2023

Препоръки на CISA за домашните мрежи - част1

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА За да се предотв...
20 март 2023

Windows 11 ще иска разрешение, преди да закача ...

Microsoft съобщава, че ще предостави на разработчиците нов API, кой...
19 март 2023

Winter Vivern е насочена към индийски, източное...

АРТ групата, известна като Winter Vivern, е свързана с кампании, на...
18 март 2023

Измерване на ефективността на SOC

Компаниите трябва да измерват ефективността във всички области на д...
17 март 2023

(ISC)² с програма за 1 000 000 безплатни курсов...

Искате да видите  себе си в киберсигурността? Не ви е необходим опи...
17 март 2023

Поддръжката на Microsoft краква Windows на клие...

При неочакван обрат инженер по поддръжката на Microsoft прибягва до...
16 март 2023

Фалшиво ChatGPT разширение за Chrome отвлича ак...

Установено е, че фалшиво разширение за браузър Chrome с марката Cha...
16 март 2023

Различни методи и етапи на тестовете за проникване

Залогът за киберзащитниците не може да бъде по-голям. При огромните...
Бъдете социални
Още по темата
20/03/2023

Препоръки на CISA за домашн...

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА...
19/03/2023

Winter Vivern е насочена къ...

АРТ групата, известна като Winter Vivern,...
15/03/2023

Белият дом пристъпва към об...

Белият дом направи историческа крачка към...
Последно добавени
20/03/2023

Препоръки на CISA за домашн...

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА...
20/03/2023

Windows 11 ще иска разрешен...

Microsoft съобщава, че ще предостави на...
19/03/2023

Winter Vivern е насочена къ...

АРТ групата, известна като Winter Vivern,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!