近日，多個(gè)威脅行為者，包括一個(gè)民族國(guó)家組織，利用Progress Telerik中存在三年的嚴(yán)重安全漏洞闖入美國(guó)一個(gè)未命名的聯(lián)邦實(shí)體。

該披露來(lái)自網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)、聯(lián)邦調(diào)查局(FBI)和多州信息共享與分析中心(MS-ISAC)發(fā)布的聯(lián)合咨詢。

“利用此漏洞允許惡意行為者在聯(lián)邦文職行政部門(FCEB)機(jī)構(gòu)的Microsoft Internet 信息服務(wù)(IIS) Web 服務(wù)器上成功執(zhí)行遠(yuǎn)程代碼?！边@些機(jī)構(gòu)表示。

從2022年11月到2023年1月初，確定了與數(shù)字入侵相關(guān)的妥協(xié)指標(biāo)(IoC)。

跟蹤為CVE-2019-18935(CVSS分?jǐn)?shù)：9.8)，該問(wèn)題與影響ASP.NET AJAX的Progress Telerik UI的.NET反序列化漏洞有關(guān)，如果不打補(bǔ)丁，可能會(huì)導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

在此值得注意的是，CVE-2019-18935之前曾在2020年和2021年被各種威脅參與者濫用的一些最常利用的漏洞中占有一席之地。

CVE-2019-18935與CVE-2017-11317一起，也被追蹤為Praying Mantis(又名TG2021)的威脅行為者武器化，以滲透到美國(guó)的公共和私人組織網(wǎng)絡(luò)。

上個(gè)月，CISA還將CVE-2017-11357——另一個(gè)影響 Telerik UI 的遠(yuǎn)程代碼執(zhí)行錯(cuò)誤——添加到已知被利用漏洞(KEV)目錄中，引用了積極利用的證據(jù)。

在2022年8月記錄的針對(duì)FCEB機(jī)構(gòu)的入侵中，據(jù)說(shuō)威脅行為者利用CVE-2019-18935 通過(guò) w3wp.exe 進(jìn)程上傳和執(zhí)行偽裝成 PNG 圖像的惡意動(dòng)態(tài)鏈接庫(kù)(DLL)文件。

DLL工件旨在收集系統(tǒng)信息、加載額外的庫(kù)、枚舉文件和進(jìn)程，并將數(shù)據(jù)泄露回遠(yuǎn)程服務(wù)器。

早在2021年8月就觀察到的另一組攻擊很可能是由名為XE Group的網(wǎng)絡(luò)犯罪分子發(fā)起的，需要使用上述規(guī)避技術(shù)來(lái)規(guī)避檢測(cè)。

這些DLL文件投放并執(zhí)行反向(遠(yuǎn)程)shell實(shí)用程序，用于與命令和控制域進(jìn)行未加密的通信，以投放額外的有效負(fù)載，包括用于持久后門訪問(wèn)的ASPX web shell。

Web shell配備了“枚舉驅(qū)動(dòng)器;發(fā)送、接收和刪除文件;以及執(zhí)行傳入的命令”和“包含一個(gè)用于輕松瀏覽系統(tǒng)上的文件、目錄或驅(qū)動(dòng)器的界面，并允許用戶上傳或?qū)⑽募螺d到任何目錄?！?/span>

為應(yīng)對(duì)此類攻擊，建議組織將其 Telerik UI ASP.NET AJAX 實(shí)例升級(jí)到最新版本，實(shí)施網(wǎng)絡(luò)分段，并對(duì)具有特權(quán)訪問(wèn)權(quán)限的帳戶強(qiáng)制實(shí)施抗網(wǎng)絡(luò)釣魚的多因素身份驗(yàn)證。

來(lái)源：E安全