CISA, FBI ve MS-ISAC’ın ortak çabasının bir sonucu olarak, yakın zamanda bir kamu danışma belgesi yayınlandı.
Bu genel danışma belgesi, Kasım 2022 ile Ocak 2023’ün başı arasında, saldırganların ABD Federal Ajansı Telerik güvenlik açığı sunucusuna erişim elde ettiğini iddia ediyor.
Ortak CSA, benzer, başarılı CVE-2019-18935 istismarlarını tespit edip bunlara karşı koruma sağlamaları için BT’ye ve altyapı savunucularına kullanılan tüm TTP’leri sağlamıştır.
En az iki tehdit aktörü, yama uygulanmamış sunucu üzerinde uzaktan kontrol elde etmek için bu Telerik UI güvenlik açığından (CVE-2019-18935) yararlandı.
Tehdit Aktörü Etkinliği
APT tehdit aktörleri, devam eden soruşturmanın bir parçası olarak CISA ve yazar kuruluşlar tarafından belirlenmiştir.
APT aktörleri, Tehdit Aktörü 1 (TA1) olarak bilinen bir grubu ve XE Grubu adı altında siber suç işleme geçmişi olan bir grubu içerir.
Tehdit aktörlerinin güvenlik açığından yararlanırken kötü amaçlı dinamik bağlantı kitaplığı (DLL) dosyalarını C:/Windows/Temp dizinine yüklediği gösterilmiştir.
Tehdit aktörleri dosyaları Unix Epoch zaman formatında adlandırmakla kalmaz, aynı zamanda dosyaları tanımlamak için hedef sistemde kayıtlı tarih ve saati de kullanır.
Güvenlik araştırmacılarının tam paket veri yakalama ve kötü amaçlı DLL dosyalarının tersine mühendislik analizine göre, w3wp.exe işlemi başka herhangi bir kötü amaçlı işlemi veya alt işlemi yürütmez.
Bir CISA araştırması, izin kısıtlamaları hizmet hesabının kötü amaçlı DLL’leri yürütmesini ve yeni dosyalar oluşturmasını engellediğinde, tehdit aktörlerinin komuta ve kontrol sunucusuna hata mesajlarının gönderildiğini gözlemledi.
IIS sunucusu saldırılara maruz kaldı
Bağlayıcı operasyonel direktifin (BOD 22-01) Kasım 2021’de yayınlandığı belirtilmelidir.
Buna rağmen, federal kurumların CISA’nın yakın zamanda CVE-2019-18935 Progress Telerik UI güvenlik açığının eklendiği KEV listesine dayalı olarak önerilen eylemleri uygulamasını gerektiriyor.
Yama, mümkün olan en erken tarih olan 3 Mayıs 2022’den önce yayınlanmış olmalıydı.
Bununla birlikte, ABD federal kurumunun Microsoft IIS sunucusunun güvenliğini son tarihe kadar sağlayamadığı anlaşılıyor çünkü ihlalle ilişkili IOC’lere göre, sunucunun güvenliğinin sağlanması için son tarih geçmişti.
Azaltmalar
Bu güvenlik açığını hedefleyen diğer saldırıların tehdidini en aza indirmek için CISA, FBI ve MS-ISAC bir dizi hafifletme önlemi önermektedir:-
- Tüm Telerik UI ASP.NET AJAX örneklerinin uygun şekilde test edilmesinden sonra, tüm örnekleri en son sürüme yükseltmelisiniz.
- Microsoft IIS ve uzak PowerShell kullanarak, bu sunucular tarafından oluşturulan etkinlik günlüklerini izleyin ve analiz edin.
- Bir hizmet hesabına verilebilecek izinler, hizmetin çalışabilmesi için minimumda tutulmalıdır.
- İnternete açık sistemlerdeki güvenlik açıklarının bir an önce giderilmesi zorunludur.
- Bir yama yönetimi çözümü uygulamak, sistemlerinizin güvenlik yamaları açısından her zaman güncel olmasını sağlamanın verimli ve etkili bir yoludur.
- Güvenlik açığı tarayıcılarının kapsamlı bir cihaz ve konum yelpazesini kapsayacak şekilde yapılandırılmasını sağlamak çok önemlidir.
- Ağ segmentlerini bir kullanıcının rolüne ve işlevine göre ayırmak için ağ segmentasyonu uygulanmalıdır.
Kötü niyetli kişiler, bir federal sivil yürütme organı kurumu (FCEB) tarafından kullanılan Microsoft Internet Information Services (IIS) web sunucusundaki bir güvenlik açığından yararlandı ve sunucuda başarılı bir şekilde uzaktan kod yürütmeyi başardı.
Bu danışma belgesinin bir sonucu olarak, CISA, FBI ve MS-ISAC, güvenlik programınızı bir üretim ortamında optimum performans için MITRE ATT&CK tekniklerine karşı sürekli olarak test etmenizi önerir.
Uzlaşma Göstergeleri
- 11415ac829c17bd8a9c4cef12c3fbc23095cbb3113c89405e489ead5138384cd (1597974061)[.]4531896[.]png)
- 144492284bcbc0110d34a2b9a44bef90ed0d6cda746df6058b49d3789b0f851d (1666006114)[.]5570521[.]txt)
- 508dd87110cb5bf5d156a13c2430c215035db216f20f546e4acec476e8d55370 (xesmartshell[.]tmp)
- 707d22cacdbd94a3e6dc884242c0565bdf10a0be42990cd7a5497b124474889b (1665130178)[.]9134793[.]dll)
- 72f7d4d3b9d2e406fa781176bd93e8deee0fb1598b67587e1928455b66b73911 (1594142927)[.]995679[.]png)
- 74544d31cbbf003bc33e7099811f62a37110556b6c1a644393fddd0bac753730 (1665131078)[.]6907752[.]dll)
- 78a926f899320ee6f05ab96f17622fb68e674296689e8649c95f95dade91e933 (1596686310)[.]434117[.]png)
- 833e9cf75079ce796ef60fc7039a0b098be4ce8d259ffa53fe2855df110b2e5d (1665128935)[.]8063045[.]dll)
- 853e8388c9a72a7a54129151884da46075d45a5bcd19c37a7857e268137935aa (1667466391)[.]0658665[.]dll)
- 8a5fc2b8ecb7ac6c0db76049d7e09470dbc24f1a90026a431285244818866505 (1596923477)[.]4946315[.]png)
- a14e2209136dad4f824c6f5986ec5d73d9cc7c86006fd2ceabe34de801062f6b (1665909724)[.]4648924[.]dll)
- b4222cffcdb9fb0eda5aa1703a067021bedd8cf7180cdfc5454d0f07d7eaf18f (1665129315)[.]9536858[.]dll)
- d69ac887ecc2b714b7f5e59e95a4e8ed2466bed753c4ac328931212c46050b35 (1667465147)[.]4282858[.]dll)
- d9273a16f979adee1afb6e55697d3b7ab42fd75051786f8c67a6baf46c4c19c2 (SortVistaCompat)
- dedf082f523dfcb75dee0480a2d8a087e3231f89fa34fcd2b7f74866a7b6608f (1665214140)[.]9324195[.]dll)
- e044bce06ea49d1eed5e1ec59327316481b8339c3b6e1aecfbb516f56d66e913 (1667465048)[.]8995082[.]dll)
- e45ad91f12188a7c3d4891b70e1ee87a3f23eb981804ea72cd23f1d5e331ff5a (1596835329)[.]5015914[.]png)
- f5cafe99bccb9d813909876fa536cc980c45687d0f411c5f4b5346dcf6b304e4 (1665132690)[.]6040645[.]dll)
Ek belgeler
- 08375e2d187ee53ed263ee6529645e03ead1a8e77afd723a3e0495201452d415 (küçük[.]aspx)
- 11d8b9be14097614dedd68839c85e3e8feec08cdab675a5e89c5b055a6a68bad (XEReverseShell[.]exe)
- 1fed0766f564dc05a119bc7fa0b6670f0da23504e23ece94a5ae27787b674cd2 (xesvrs)[.]exe)
- 5cbba90ba539d4eb6097169b0e9acf40b8c4740a01ddb70c67a8fb1fc3524570 (küçük[.]txt)
- 815d262d38a26d5695606d03d5a1a49b9c00915ead1d8a2c04eb47846100e93f (XEReververseShell[.]exe)
- a0ab222673d35d750a0290db1b0ce890b9d40c2ab67bfebb62e1a006e9f2479c (Multi-OS_ReverseShell[.]exe)
Etki alanları
- hivnd[.]iletişim
- xegrupları[.]iletişim
- xework[.]iletişim
IP’ler
- 137[.]184[.]130[.]162
- 144[.]96[.]103[.]245
- 184[.]168[.]104[.]171
- 45[.]77[.]212[.]12
Bulgular
144492284bcbc0110d34a2b9a44bef90ed0d6cda746df6058b49d3789b0f851d
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin