多個黑客組織利用已有 3 年歷史的漏洞入侵美國

  網絡滲透測試     |      2023-03-23 12:20


多個黑客組織利用已有 3 年歷史的漏洞入侵美國



多個黑客組織利用已有 3 年歷史的漏洞入侵美國

包括一個民族國家集團在內的多個威脅行為者利用Progress Telerik中一個長達三年的關鍵安全漏洞,闖入了美國一個未具名的聯邦實體。

該披露來自網絡安全和基礎設施安全局(CISA),聯邦調查局(FBI)和多州信息共享和分析中心(MS-ISAC)發布的聯合咨詢。

“利用此漏洞允許惡意行為者在聯邦民事行政部門(FCEB)機構的微軟互聯網信息服務(IIS)Web服務器上成功執行遠程代碼,”這些機構表示。

與數字闖入相關的入侵指標 (IoC) 是在 2022 年 2023 月至 年 月初確定的。

該問題被跟蹤為 CVE-2019-18935(CVSS 分數:9.8),與影響 ASP.NET AJAX 的 Progress Telerik UI 的 .NET 反序列化漏洞有關,如果未修補,可能會導致遠程代碼執行。

這里值得注意的是,CVE-2019-18935 之前已經在 2020 年和 2021 年各種威脅行為者濫用的一些最常被利用的漏洞中找到了一席之地。

CVE-2019-18935 與 CVE-2017-11317 一起,也被追蹤為螳螂(又名 TG2021)的威脅行為者武器化,以滲透美國的公共和私人組織網絡。

上個月,CISA還將CVE-2017-11357(另一個影響Telerik UI的遠程代碼執行錯誤)添加到已知漏洞(KEV)目錄中,引用了主動利用的證據。

在 2022 年 2019 月記錄的針對 FCEB 機構的入侵中,據說威脅行為者利用 CVE-18935-3 通過 wwp.exe 進程上傳和執行偽裝成 PNG 圖像的惡意動態鏈接庫 (DLL) 文件。

DLL 項目旨在收集系統信息、加載其他庫、枚舉文件和進程,以及將數據泄露回遠程服務器。

另一組攻擊早在 2021 年 月就觀察到,可能由被稱為 XE Group 的網絡犯罪分子發起,需要使用上述規避技術來回避檢測。

這些DLL文件刪除并執行反向(遠程)shell實用程序,用于與命令和控制域的未加密通信,以丟棄其他有效負載,包括用于持久后門訪問的ASPX Web shell。

Web 外殼配備有“枚舉驅動器;發送、接收和刪除文件;并執行傳入命令“和”包含一個界面,用于輕松瀏覽系統上的文件、目錄或驅動器,并允許用戶將文件上傳或下載到任何目錄。

為了應對此類攻擊,建議組織將其 Telerik UI AJAX 實例升級到最新版本,實施網絡分段,并對具有特權訪問權限的帳戶強制實施防網絡釣魚的多重身份驗證。