3. Taraf Risk Yönetimi , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Progress Telerik UI’nin .NET Güvenlik Açığı Uzaktan Kod Yürütülmesine Neden Olabilir
Cal Harrison •
15 Mart 2023
Amerika’nın en büyük siber güvenlik kurumu, isimsiz bir gelişmiş kalıcı tehdit grubu da dahil olmak üzere birden fazla tehdit grubundan bilgisayar korsanlarının, bir ABD hükümet kurumunda yama yapılmadan bırakılan 4 yıllık bir yazılım güvenlik açığından yararlandığını açıkladı.
Siber Güvenlik ve Altyapı Güvenliği Dairesi Çarşamba günü yaptığı açıklamada, bilgisayar korsanlarının başarılı bir şekilde uzaktan kod yürütmeyi başardığını söyledi.
Ajans taraması, savunmasız yazılım “tipik olarak taramadığı bir dosya yolunda” bulunduğundan, yama uygulanmamış sistemi tespit edemedi.
Güvenlik araştırmacıları, CVE-2019-18935 olarak izlenen güvenlik açığını 2019’da açıkladı. Microsoft asp.net Ajax ortamı için Progress Telerik tarafından yapılan, yaygın olarak kullanılan bir kullanıcı arabirimi bileşenleri paketinde bulunuyor.
CISA, Kasım 2022 ile Ocak 2023’ün başları arasında güvenliği ihlal edilen federal sivil yürütme organı teşkilatı olması dışında saldırıya uğrayan hükümet grubunu tanımlamayı reddetti.
Güvenlik açığı için CVSS puanı 9,8 veya uzaktan kod yürütme olasılığı nedeniyle kritik. 2014 yılında Telerik’i satın alan Progress Yazılım’a Perşembe günü Bilgi Güvenliği Medya Grubu tarafından yorum için hemen ulaşılamadı. CISA, eski yazılımı kullanan kuruluşlara en son güvenlik yamalarını uygulamalarını, yama yönetiminden ve çalışan hizmetlere karşı güvenlik açığı taramasından elde edilen çıktıları doğrulamalarını ve “hizmet hesaplarını hizmetleri çalıştırmak için gereken minimum izinlerle sınırlamalarını” önerir.
Contrast Security’de CISO olan David Lindner başka bir adım önerdi: “Bu noktada, sistemlerinize bu güvenlik açığını veya 2017’deki Telerik güvenlik açığını düzeltmediyseniz, tek seçeneğiniz sizi saldırılardan ve açıklardan yararlanmalardan korumak için çalışma zamanı korumasını kullanmaktır. .”
Lindner, “Çalışma zamanı uygulaması kendi kendini koruması, özellikle bu belirli Telerik güvenlik açığı gibi durumlarda, birçok farklı seri kaldırma sorununu ve başarılı istismarları önleyebilir” dedi. “Sizi seri durumdan çıkarma saldırılarından koruyan bir RASP ürünü bulmanızı ve ardından sistemlerinizi Telerik’in güvenlik açığı olmayan bir sürümüne yükseltmenizi öneririm.”
CISA, 2021 gibi erken bir tarihte, tehdit aktörlerinin bazıları PNG dosyası gibi görünen kötü amaçlı DLL dosyalarını C:WindowsTemp dizinine yüklediğini söylüyor. Dosyalar daha sonra C:WindowsTemp dizininden yürütüldü. w3wp.exe süreç – “IIS sunucularında çalışan meşru bir süreç. Bu süreç, web sunucularına gönderilen isteklerin işlenmesi ve içerik iletilmesi için rutindir.”
CISA, çoğu durumda, kötü amaçlı yazılımın işaretlerini bulmanın zor olduğunu söylüyor çünkü dosyaları arıyor ve kaldırıyor. .dll Windows Temp dizininden dosya uzantısı.
Siber güvenlik uzmanları, federal kurumlarla yaşanan olayın yamalara ayak uydurmanın zorluğunun altını çizdiğini söylediler. Lindner, CVE.icu’ya göre, “2023’te ortalama CVSS puanı 7,23 olan günde yaklaşık 75 CVE yayınlandı. Kuruluşlar zaman çizelgelerini korumakta ve sistemlere yama uygulamaya devam etmekte zorlanacak ve biz de bunu yaparken ekstra kontrollere ihtiyacımız var. öncelik ver ve yama yap.”
Siber güvenlik şirketi Coro’nun kurucu ortağı Dror Liwer, bilinen güvenlik açıklarının “saldırganların evrenindeki en önemli meyve” olduğuna dikkat çekiyor.
Liwer, “Sosyal mühendislik, güçlü teknik beceriler veya aktif izleme gerektirmeyen kolay, iyi belgelenmiş bir giriş noktasını temsil ediyorlar” dedi. “Tüm varlıklarda bilinen güvenlik açıklarına ayak uydurmak göz korkutucu bir iştir ve kuruluşların bir güncellemeyi gözden kaçırması veya operasyonel nedenlerle bir güncellemeyi atlaması çok yaygındır. Kolay bir düzeltme yoktur. Güvenlik açığı yönetimi, herhangi bir siber güvenliğin ayrılmaz bir parçası olmalıdır program, olabildiğince sıkıcı ve zahmetli.”