Федералната агенция на САЩ е хакната с помощта на стар бъг на Telerik

Picture of Здравко Боджов
Здравко Боджов
Aрхив | Уязвимости
15 март 2023

Миналата година уеб сървърът на Microsoft Internet Information Services (IIS) на федерална агенция на САЩ беше хакнат чрез използване на критична уязвимост при десериализацията на .NET в компонента Progress Telerik UI for ASP.NET AJAX.

Според съвместна консултация, публикувана днес от CISA, ФБР и MS-ISAC, нападателите са имали достъп до сървъра между ноември 2022 г. и началото на януари 2023 г. въз основа на индикатори за компрометиране (IOC), открити в мрежата на неназованата федерална гражданска изпълнителна агенция (FCEB).

Поне двамаизвършители (един от тях – виетнамската група XE) са получили достъп до непоправения сървър, като са използвали този бъг (CVE-2019-18935), за да получат отдалечено изпълнение на код.

След като са хакнали сървъра на неназованата федерална гражданска изпълнителна агенция (FCEB), те са разположили зловредни полезни товари в папката C:WindowsTemp, за да събират и изнасят информация към контролирани от нападателите сървъри за командване и контрол.

Зловредният софтуер, инсталиран на компрометирания IIS сървър, може да разгръща допълнителни полезни товари, избягвайки откриването чрез изтриване на следите си в системата и отваряне на обратни обвивки, за да поддържа устойчивост.

Той би могъл да се използва и за пускане на уеб обвивка ASPX, която осигурява интерфейс за сърфиране в локалната система, изтегляне и качване на файлове и изпълнение на отдалечени команди.

Въпреки това, както е описано подробно в консултацията, „не е наблюдавано пускане на уеб обвивки в целевата система, вероятно поради това, че злоупотребеният служебен акаунт има ограничителни права за запис“.

Повече информация за зловредния софтуер, инсталиран на хакнатите сървъри Microsoft IIS, можете да намерите в този доклад за анализ на зловреден софтуер, също публикуван днес от CISA.

Уязвимостта CVE-2019-18935 Telerik UI беше включена и в списъка на NSA с 25-те най-използвани от китайски хакери грешки в сигурността и в списъка на ФБР с най-използваните уязвимости.

Сървърът на Microsoft IIS е изложен на атаки

През ноември 2021 г. CISA добави уязвимостта в сигурността на потребителския интерфейс на Progress Telerik UI CVE-2019-18935 в своя каталог на известните експлоатирани уязвимости (KEV).

Съгласно издадената през ноември 2021 г. задължителна оперативна директива (BOD 22-01), която изисква от федералните агенции към списъка KEV на CISA да прилагат препоръчителни действия, тя е трябвало да бъде поправена до 3 май 2022 г.

Въпреки това, въз основа на свързаните с това нарушение IOC, федералната агенция на САЩ не е успяла да защити своя сървър Microsoft IIS до изтичането на крайния срок.

CISA, ФБР и MS-ISAC съветват да се приложат множество мерки за смекчаване на последиците, за да се предпазят от други атаки, насочени към тази уязвимост, като някои от основните мерки включват

  • Обновете всички единици на Telerik UI ASP.NET AJAX до най-новата версия след подходящо тестване.
  • Наблюдавайте и анализирайте дневниците за дейността, генерирани от Microsoft IIS и отдалечения PowerShell.
  • Ограничете служебните акаунти до минималните разрешения, необходими за стартиране на услугите.
  • Приоритизирайте отстраняването на уязвимостите в системите, насочени към интернет.
  • Внедрете решение за управление на пачовете, за да осигурите съответствие с най-новите актуализации за сигурност.
  • Уверете се, че скенерите за уязвимости са конфигурирани да сканират цялостен обхват от устройства и местоположения.
  • Приложете мрежова сегментация, за да разделите мрежовите сегменти въз основа на роля и функционалност.

 

„В допълнение към прилагането на мерки за намаляване на заплахите CISA, ФБР и MS-ISAC препоръчват да упражнявате, тествате и валидирате програмата за сигурност на вашата организация спрямо поведението на заплахите, съпоставено с рамката MITRE ATT&CK for Enterprise в тази консултация“, препоръчват още трите организации.

„CISA, ФБР и MS-ISAC препоръчват непрекъснато да тествате програмата си за сигурност в голям мащаб в производствена среда, за да осигурите оптимална ефективност спрямо техниките на MITRE ATT&CK, посочени в тази консултация.“

#атаки, # САЩ, # сигурност за крайни устройства
По материали от Интернет

Подобни

Уязвимости в Claude позволяват на злонамерени сайтове да стартират малуер
7.11.2025
claude anthropic
Проблем с актуализация на Windows може да задейства BitLocker Recovery режим
6.11.2025
windows-6281710_1280
CVE-2025-9491 в Windows се ползва за атаки срещу дипломати
4.11.2025
Windows-10
Критична уязвимост в Chromium браузърите
31.10.2025
browser-773215_1280
Германия под заплаха: 92% от Exchange сървърите остават без защита
30.10.2025
microsoft-exchange-logo-png-what-is-microsoft-exchange-1913
CISA предупреждава за уязвимости в DELMIA Apriso
29.10.2025
cisa

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing
Кибер въоръжаване и ИИ: Новите предизвикателства на бойното поле
4.10.2025
military-8431995_1280

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.