Ngày 16 tháng 3 năm 2023Ravie LakshmananTấn công mạng / Lỗ hổng
Nhiều tác nhân đe dọa, bao gồm cả một nhóm quốc gia, đã khai thác một lỗ hổng bảo mật quan trọng đã tồn tại ba năm trong Progress Telerik để đột nhập vào một thực thể liên bang giấu tên ở Hoa Kỳ
Tiết lộ này đến từ một tư vấn chung do Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng (CISA), Cục Điều tra Liên bang (FBI) và Trung tâm Phân tích và Chia sẻ Thông tin Đa Bang (MS-ISAC).
“Việc khai thác lỗ hổng này cho phép các tác nhân độc hại thực thi thành công mã từ xa trên máy chủ web Microsoft Internet Information Services (IIS) của cơ quan hành pháp dân sự liên bang (FCEB), cơ quan này cho biết.
Các dấu hiệu xâm phạm (IoC) liên quan đến đột nhập kỹ thuật số đã được xác định từ tháng 11 năm 2022 đến đầu tháng 1 năm 2023.
Được theo dõi là CVE-2019-18935 (điểm CVSS: 9,8), sự cố liên quan đến lỗ hổng giải tuần tự hóa .NET ảnh hưởng đến Progress Telerik UI cho ASP.NET AJAX. Nếu không được vá, có thể dẫn đến thực thi mã từ xa.
Điều đáng chú ý ở đây là CVE-2019-18935 trước đây đã nằm trong số một số lỗ hổng bị khai thác phổ biến nhất bị các tác nhân đe dọa khác nhau lạm dụng vào năm 2020 và 2021.
CVE-2019-18935, cùng với CVE-2017-11317, cũng đã được vũ khí hóa bởi một tác nhân đe dọa được theo dõi là Praying Mantis (còn gọi là TG2021) để xâm nhập vào mạng của các tổ chức công và tư ở Hoa Kỳ
Tháng trước, CISA cũng đã thêm CVE-2017-11357 – một lỗi thực thi mã từ xa khác ảnh hưởng đến Telerik UI – vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), trích dẫn bằng chứng về việc khai thác tích cực.
Trong vụ xâm nhập được ghi lại nhằm vào cơ quan FCEB vào tháng 8 năm 2022, những kẻ đe dọa được cho là đã tận dụng CVE-2019-18935 để tải lên và thực thi các tệp thư viện liên kết động (DLL) độc hại giả dạng hình ảnh PNG thông qua quy trình w3wp.exe.
Các tạo phẩm DLL được thiết kế để thu thập thông tin hệ thống, tải các thư viện bổ sung, liệt kê các tệp và quy trình, đồng thời lọc dữ liệu trở lại máy chủ từ xa.
Một loạt các cuộc tấn công khác, được quan sát thấy vào đầu tháng 8 năm 2021 và có khả năng được thực hiện bởi một tác nhân tội phạm mạng có tên là XE Group, dẫn đến việc sử dụng các kỹ thuật trốn tránh nói trên để vượt qua sự phát hiện.
Các tệp DLL này đã bị loại bỏ và thực thi các tiện ích shell (từ xa) đảo ngược để liên lạc không được mã hóa với miền lệnh và kiểm soát nhằm loại bỏ các tải trọng bổ sung, bao gồm cả một web shell ASPX để truy cập cửa sau liên tục.
Vỏ web được trang bị để “liệt kê các ổ đĩa; để gửi, nhận và xóa tệp; và để thực thi các lệnh đến” và “chứa một giao diện để dễ dàng duyệt các tệp, thư mục hoặc ổ đĩa trên hệ thống và cho phép người dùng tải lên hoặc tải tập tin xuống bất kỳ thư mục nào.”
Để chống lại các cuộc tấn công như vậy, các tổ chức nên nâng cấp các phiên bản Telerik UI ASP.NET AJAX của họ lên phiên bản mới nhất, triển khai phân đoạn mạng và thực thi xác thực đa yếu tố chống lừa đảo cho các tài khoản có quyền truy cập đặc quyền.
