多个黑客组织利用存在3年之久的漏洞入侵美国联邦机构

多个威胁行为者,包括一个民族国家组织,利用Progress Telerik中存在三年的严重安全漏洞闯入美国一个未命名的联邦实体
该披露来自网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和多州信息共享与分析中心(MS-ISAC)发布的联合咨询。
“利用此漏洞允许恶意行为者在联邦文职行政部门(FCEB)机构的Microsoft Internet信息服务(IIS)Web服务器上成功执行远程代码。”这些机构表示。
从2022年11月到2023年1月初,确定了与数字入侵相关的威胁指标(IoC)。
跟踪为CVE-2019-18935(CVSS 分数:9.8),该问题与影响ASP.NET AJAX的Progress Telerik UI的.NET反序列化漏洞有关,如果不打补丁,可能会导致远程代码执行。
在此值得注意的是,CVE-2019-18935之前曾在2020年和2021年被各种威胁参与者滥用的一些最常利用的漏洞中占有一席之地。
CVE-2019-18935与CVE-2017-11317一起,也被追踪为Praying Mantis(又名 TG2021)的威胁行为者武器化,以渗透到美国的公共和私人组织网络
上个月,CISA还将CVE-2017-11357(另一个影响Telerik UI的远程代码执行错误)添加到已知被利用漏洞(KEV)目录中,并引用了积极利用的证据。
据称,威胁参与者利用该漏洞通过w3wp.exe进程上传和执行伪装成PNG图像的恶意动态链接库(DLL)文件。
DLL工件旨在收集系统信息、加载额外的库、枚举文件和进程,并将数据泄露回远程服务器。
早在2021年8月就观察到的另一组攻击很可能是由名为XE Group的网络犯罪分子发起的,需要使用上述规避技术来规避检测。
这些DLL文件投放并执行反向(远程)shell实用程序,用于与命令和控制域进行未加密的通信,以投放额外的有效负载,包括用于持久后门访问的ASPX web shell。
Web shell配备了“枚举驱动器;发送、接收和删除文件;以及执行传入的命令”和“包含一个用于轻松浏览系统上的文件、目录或驱动器的界面,并允许用户上传或将文件下载到任何目录。”
为应对此类攻击,建议组织将其Telerik UI ASP.NET AJAX实例升级到最新版本,实施网络分段,并对具有特权访问权限的帐户强制执行抗网络钓鱼的多因素身份验证。
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4996.html