CISA、FBI、MS-ISAC联合声明,出于经济动机的黑客和APT组织正在利用IIS的Telerik漏洞

据报道,这次袭击影响了一个美国政府实体。这种数字入侵的妥协指标(IoC)于2022年11月被发现,并一直持续到2023年1月。供您参考,全球许多知名公司都在使用Telerik应用程序开发软件。这些产品中的任何缺陷对网络犯罪分子来说都非常有价值。

该公告指出,包括一个民族国家组织在内的多个威胁行为者正在利用此漏洞。该安全漏洞是在Progress Software的Telerik中发现的,并被用来渗透到美国的联邦政府机构。

2022年8月,观察到针对联邦文职行政部门(FCEB)的入侵。攻击者利用该漏洞通过w3wp.exe进程上传并执行伪装成 PNG 图片的恶意 DLL 文件。这些文件收集系统数据,将库加载到系统,并枚举进程和文件以将窃取的数据传输到攻击者操作的远程服务器。

通过利用此漏洞,恶意威胁行为者可以在FCEB的Microsoft IIS(Internet信息服务)Web服务器上执行远程代码。进一步的探测显示,该服务器托管了一个用于ASP.NET AJAX应用程序开发库的Progress Telerik UI易受攻击的实例。

然而,CISA没有指出入侵IIS服务器的攻击者的名字,但表示来自越南的一个名为XE Group的网络犯罪团伙也利用了同一台机器。该组织最早的活动是在2021年8月被发现的,当时黑客交付了收集系统数据的DLL文件,并在被劫持的系统上部署了新组件。

该漏洞被跟踪为CVE-2019-18935,CVSS评分为9.8,可用于远程代码执行。该问题与.NET反序列化漏洞有关,如果不打补丁,该漏洞可能会对使用Telerik软件的公司造成危险。此前曾在2020年和2021年发现过同样的漏洞,以及其他一些经常被利用的漏洞。

此外,连同另一个被追踪为CVE-2017-11317的漏洞,这个漏洞被Praying Mantis威胁行为者利用来入侵美国私人和公共组织的网络。

CVE-2019-18935与另一个跟踪为CVE-2017-11357的漏洞有关。这是在Telerik软件中发现的一个旧缺陷,利用它可以让攻击者获得加密密钥,从而促进CVE-2019-18935的利用。

2020年,CVE-2019-18935被美国国家安全局称为中国国家支持的行为者最常利用的漏洞之一。2022年4月,美国、英国、加拿大、澳大利亚和新西兰的网络安全公司将其列入了他们的常用安全漏洞列表。

发表评论

评论已关闭。

相关文章