Миналата година уеб сървърът на Microsoft Internet Information Services (IIS) на федерална агенция на САЩ беше хакнат чрез използване на критична уязвимост при десериализацията на .NET в компонента Progress Telerik UI for ASP.NET AJAX.

Според съвместна консултация, публикувана днес от CISA, ФБР и MS-ISAC, нападателите са имали достъп до сървъра между ноември 2022 г. и началото на януари 2023 г. въз основа на индикатори за компрометиране (IOC), открити в мрежата на неназованата федерална гражданска изпълнителна агенция (FCEB).

Поне двамаизвършители (един от тях – виетнамската група XE) са получили достъп до непоправения сървър, като са използвали този бъг (CVE-2019-18935), за да получат отдалечено изпълнение на код.

След като са хакнали сървъра на неназованата федерална гражданска изпълнителна агенция (FCEB), те са разположили зловредни полезни товари в папката C:\Windows\Temp\, за да събират и изнасят информация към контролирани от нападателите сървъри за командване и контрол.

Зловредният софтуер, инсталиран на компрометирания IIS сървър, може да разгръща допълнителни полезни товари, избягвайки откриването чрез изтриване на следите си в системата и отваряне на обратни обвивки, за да поддържа устойчивост.

Той би могъл да се използва и за пускане на уеб обвивка ASPX, която осигурява интерфейс за сърфиране в локалната система, изтегляне и качване на файлове и изпълнение на отдалечени команди.

Въпреки това, както е описано подробно в консултацията, „не е наблюдавано пускане на уеб обвивки в целевата система, вероятно поради това, че злоупотребеният служебен акаунт има ограничителни права за запис“.

Повече информация за зловредния софтуер, инсталиран на хакнатите сървъри Microsoft IIS, можете да намерите в този доклад за анализ на зловреден софтуер, също публикуван днес от CISA.

Уязвимостта CVE-2019-18935 Telerik UI беше включена и в списъка на NSA с 25-те най-използвани от китайски хакери грешки в сигурността и в списъка на ФБР с най-използваните уязвимости.

Сървърът на Microsoft IIS е изложен на атаки

През ноември 2021 г. CISA добави уязвимостта в сигурността на потребителския интерфейс на Progress Telerik UI CVE-2019-18935 в своя каталог на известните експлоатирани уязвимости (KEV).

Съгласно издадената през ноември 2021 г. задължителна оперативна директива (BOD 22-01), която изисква от федералните агенции към списъка KEV на CISA да прилагат препоръчителни действия, тя е трябвало да бъде поправена до 3 май 2022 г.

Въпреки това, въз основа на свързаните с това нарушение IOC, федералната агенция на САЩ не е успяла да защити своя сървър Microsoft IIS до изтичането на крайния срок.

CISA, ФБР и MS-ISAC съветват да се приложат множество мерки за смекчаване на последиците, за да се предпазят от други атаки, насочени към тази уязвимост, като някои от основните мерки включват

• Обновете всички единици на Telerik UI ASP.NET AJAX до най-новата версия след подходящо тестване.
• Наблюдавайте и анализирайте дневниците за дейността, генерирани от Microsoft IIS и отдалечения PowerShell.
• Ограничете служебните акаунти до минималните разрешения, необходими за стартиране на услугите.
• Приоритизирайте отстраняването на уязвимостите в системите, насочени към интернет.
• Внедрете решение за управление на пачовете, за да осигурите съответствие с най-новите актуализации за сигурност.
• Уверете се, че скенерите за уязвимости са конфигурирани да сканират цялостен обхват от устройства и местоположения.
• Приложете мрежова сегментация, за да разделите мрежовите сегменти въз основа на роля и функционалност.

„В допълнение към прилагането на мерки за намаляване на заплахите CISA, ФБР и MS-ISAC препоръчват да упражнявате, тествате и валидирате програмата за сигурност на вашата организация спрямо поведението на заплахите, съпоставено с рамката MITRE ATT&CK for Enterprise в тази консултация“, препоръчват още трите организации.

„CISA, ФБР и MS-ISAC препоръчват непрекъснато да тествате програмата си за сигурност в голям мащаб в производствена среда, за да осигурите оптимална ефективност спрямо техниките на MITRE ATT&CK, посочени в тази консултация.“