Търсене
Close this search box.

Миналата година уеб сървърът на Microsoft Internet Information Services (IIS) на федерална агенция на САЩ беше хакнат чрез използване на критична уязвимост при десериализацията на .NET в компонента Progress Telerik UI for ASP.NET AJAX.

Според съвместна консултация, публикувана днес от CISA, ФБР и MS-ISAC, нападателите са имали достъп до сървъра между ноември 2022 г. и началото на януари 2023 г. въз основа на индикатори за компрометиране (IOC), открити в мрежата на неназованата федерална гражданска изпълнителна агенция (FCEB).

Поне двамаизвършители (един от тях – виетнамската група XE) са получили достъп до непоправения сървър, като са използвали този бъг (CVE-2019-18935), за да получат отдалечено изпълнение на код.

След като са хакнали сървъра на неназованата федерална гражданска изпълнителна агенция (FCEB), те са разположили зловредни полезни товари в папката C:\Windows\Temp\, за да събират и изнасят информация към контролирани от нападателите сървъри за командване и контрол.

Зловредният софтуер, инсталиран на компрометирания IIS сървър, може да разгръща допълнителни полезни товари, избягвайки откриването чрез изтриване на следите си в системата и отваряне на обратни обвивки, за да поддържа устойчивост.

Той би могъл да се използва и за пускане на уеб обвивка ASPX, която осигурява интерфейс за сърфиране в локалната система, изтегляне и качване на файлове и изпълнение на отдалечени команди.

Въпреки това, както е описано подробно в консултацията, „не е наблюдавано пускане на уеб обвивки в целевата система, вероятно поради това, че злоупотребеният служебен акаунт има ограничителни права за запис“.

Повече информация за зловредния софтуер, инсталиран на хакнатите сървъри Microsoft IIS, можете да намерите в този доклад за анализ на зловреден софтуер, също публикуван днес от CISA.

Уязвимостта CVE-2019-18935 Telerik UI беше включена и в списъка на NSA с 25-те най-използвани от китайски хакери грешки в сигурността и в списъка на ФБР с най-използваните уязвимости.

Сървърът на Microsoft IIS е изложен на атаки

През ноември 2021 г. CISA добави уязвимостта в сигурността на потребителския интерфейс на Progress Telerik UI CVE-2019-18935 в своя каталог на известните експлоатирани уязвимости (KEV).

Съгласно издадената през ноември 2021 г. задължителна оперативна директива (BOD 22-01), която изисква от федералните агенции към списъка KEV на CISA да прилагат препоръчителни действия, тя е трябвало да бъде поправена до 3 май 2022 г.

Въпреки това, въз основа на свързаните с това нарушение IOC, федералната агенция на САЩ не е успяла да защити своя сървър Microsoft IIS до изтичането на крайния срок.

CISA, ФБР и MS-ISAC съветват да се приложат множество мерки за смекчаване на последиците, за да се предпазят от други атаки, насочени към тази уязвимост, като някои от основните мерки включват

  • Обновете всички единици на Telerik UI ASP.NET AJAX до най-новата версия след подходящо тестване.
  • Наблюдавайте и анализирайте дневниците за дейността, генерирани от Microsoft IIS и отдалечения PowerShell.
  • Ограничете служебните акаунти до минималните разрешения, необходими за стартиране на услугите.
  • Приоритизирайте отстраняването на уязвимостите в системите, насочени към интернет.
  • Внедрете решение за управление на пачовете, за да осигурите съответствие с най-новите актуализации за сигурност.
  • Уверете се, че скенерите за уязвимости са конфигурирани да сканират цялостен обхват от устройства и местоположения.
  • Приложете мрежова сегментация, за да разделите мрежовите сегменти въз основа на роля и функционалност.

 

„В допълнение към прилагането на мерки за намаляване на заплахите CISA, ФБР и MS-ISAC препоръчват да упражнявате, тествате и валидирате програмата за сигурност на вашата организация спрямо поведението на заплахите, съпоставено с рамката MITRE ATT&CK for Enterprise в тази консултация“, препоръчват още трите организации.

„CISA, ФБР и MS-ISAC препоръчват непрекъснато да тествате програмата си за сигурност в голям мащаб в производствена среда, за да осигурите оптимална ефективност спрямо техниките на MITRE ATT&CK, посочени в тази консултация.“

Източник: По материали от Интернет

Подобни публикации

18 септември 2024

D-Link обяви кръпки за множество уязвимости с к...

Тайванският производител на мрежов хардуер D-Link обяви в понеделни...
18 септември 2024

Tenable сподели подробности за метод за атака ч...

Tenable сподели подробности за метод за атака чрез объркване на зав...
18 септември 2024

Element Security излиза на сцената с решение CT...

Израелският стартъп Element Security наскоро излезе от скрит режим ...
18 септември 2024

BlackCloak набира 17 милиона долара за защита н...

Фирмата за киберсигурност и защита на личните данни BlackCloak обяв...
18 септември 2024

Китаец е използвал спиър фишинг, за да получи с...

В понеделник САЩ обявиха обвинения срещу китайски гражданин, за ког...
17 септември 2024

Скорошните уязвимости на WhatsUp Gold са използ...

Две критични уязвимости, поправени наскоро в продукта WhatsUp Gold ...
17 септември 2024

Тактики за скриване под радара на киберпрестъпн...

Киберсигурността е игра на котка и мишка, в която нападатели и защи...
17 септември 2024

Група за рансъмуер публикува данни, за които се...

Групата за рансъмуер RansomHub е публикувала 487 гигабайта данни, з...
17 септември 2024

EasyDMARC получава 20 млн. долара за удостоверя...

EasyDMARC, арменски стартъп, който намира приложение в областта на ...
Бъдете социални
Още по темата
15/09/2024

ФБР: Игнорирайте фалшивите ...

Федералното бюро за разследване (ФБР) и...
12/09/2024

PIXHELL позволява прескачан...

Изследовател е представил подробности за нов...
12/09/2024

Пробив на KemperSports зас...

Тази седмица компанията за управление на...
Последно добавени
18/09/2024

D-Link обяви кръпки за множ...

Тайванският производител на мрежов хардуер D-Link...
18/09/2024

Tenable сподели подробности...

Tenable сподели подробности за метод за...
18/09/2024

Element Security излиза на ...

Израелският стартъп Element Security наскоро излезе...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!