Федералната агенция на САЩ е хакната с помощта на стар бъг на Telerik

Picture of Здравко Боджов
Здравко Боджов
Aрхив | Уязвимости

Миналата година уеб сървърът на Microsoft Internet Information Services (IIS) на федерална агенция на САЩ беше хакнат чрез използване на критична уязвимост при десериализацията на .NET в компонента Progress Telerik UI for ASP.NET AJAX.

Според съвместна консултация, публикувана днес от CISA, ФБР и MS-ISAC, нападателите са имали достъп до сървъра между ноември 2022 г. и началото на януари 2023 г. въз основа на индикатори за компрометиране (IOC), открити в мрежата на неназованата федерална гражданска изпълнителна агенция (FCEB).

Поне двамаизвършители (един от тях – виетнамската група XE) са получили достъп до непоправения сървър, като са използвали този бъг (CVE-2019-18935), за да получат отдалечено изпълнение на код.

След като са хакнали сървъра на неназованата федерална гражданска изпълнителна агенция (FCEB), те са разположили зловредни полезни товари в папката C:WindowsTemp, за да събират и изнасят информация към контролирани от нападателите сървъри за командване и контрол.

Зловредният софтуер, инсталиран на компрометирания IIS сървър, може да разгръща допълнителни полезни товари, избягвайки откриването чрез изтриване на следите си в системата и отваряне на обратни обвивки, за да поддържа устойчивост.

Той би могъл да се използва и за пускане на уеб обвивка ASPX, която осигурява интерфейс за сърфиране в локалната система, изтегляне и качване на файлове и изпълнение на отдалечени команди.

Въпреки това, както е описано подробно в консултацията, „не е наблюдавано пускане на уеб обвивки в целевата система, вероятно поради това, че злоупотребеният служебен акаунт има ограничителни права за запис“.

Повече информация за зловредния софтуер, инсталиран на хакнатите сървъри Microsoft IIS, можете да намерите в този доклад за анализ на зловреден софтуер, също публикуван днес от CISA.

Уязвимостта CVE-2019-18935 Telerik UI беше включена и в списъка на NSA с 25-те най-използвани от китайски хакери грешки в сигурността и в списъка на ФБР с най-използваните уязвимости.

Сървърът на Microsoft IIS е изложен на атаки

През ноември 2021 г. CISA добави уязвимостта в сигурността на потребителския интерфейс на Progress Telerik UI CVE-2019-18935 в своя каталог на известните експлоатирани уязвимости (KEV).

Съгласно издадената през ноември 2021 г. задължителна оперативна директива (BOD 22-01), която изисква от федералните агенции към списъка KEV на CISA да прилагат препоръчителни действия, тя е трябвало да бъде поправена до 3 май 2022 г.

Въпреки това, въз основа на свързаните с това нарушение IOC, федералната агенция на САЩ не е успяла да защити своя сървър Microsoft IIS до изтичането на крайния срок.

CISA, ФБР и MS-ISAC съветват да се приложат множество мерки за смекчаване на последиците, за да се предпазят от други атаки, насочени към тази уязвимост, като някои от основните мерки включват

  • Обновете всички единици на Telerik UI ASP.NET AJAX до най-новата версия след подходящо тестване.
  • Наблюдавайте и анализирайте дневниците за дейността, генерирани от Microsoft IIS и отдалечения PowerShell.
  • Ограничете служебните акаунти до минималните разрешения, необходими за стартиране на услугите.
  • Приоритизирайте отстраняването на уязвимостите в системите, насочени към интернет.
  • Внедрете решение за управление на пачовете, за да осигурите съответствие с най-новите актуализации за сигурност.
  • Уверете се, че скенерите за уязвимости са конфигурирани да сканират цялостен обхват от устройства и местоположения.
  • Приложете мрежова сегментация, за да разделите мрежовите сегменти въз основа на роля и функционалност.

 

„В допълнение към прилагането на мерки за намаляване на заплахите CISA, ФБР и MS-ISAC препоръчват да упражнявате, тествате и валидирате програмата за сигурност на вашата организация спрямо поведението на заплахите, съпоставено с рамката MITRE ATT&CK for Enterprise в тази консултация“, препоръчват още трите организации.

„CISA, ФБР и MS-ISAC препоръчват непрекъснато да тествате програмата си за сигурност в голям мащаб в производствена среда, за да осигурите оптимална ефективност спрямо техниките на MITRE ATT&CK, посочени в тази консултация.“

#атаки, # САЩ, # сигурност за крайни устройства
По материали от Интернет

Подобни

Скритата бомба в индустрията
12.03.2026
power-station-374097_640
HPE поправя критични уязвимости в Aruba Networking AOS-CX
12.03.2026
u_ugwzfjap7f-ai-generated-8941370_640
Microsoft пусна мартенската ESU актуализация за Windows 10
11.03.2026
windows-10-1535765_1280
Microsoft пусна мартенския Patch Tuesday за Windows 11
11.03.2026
Windows_11_blur
Microsoft продължава работа по проблем с бели проблясъци във File Explorer
11.03.2026
windows-11-6377156_1280
ИИ агент започна самостоятелно криптомайнинг по време на обучение
10.03.2026
jcoope12-ai-generated-9054495_640

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.