Geçen yıl, bir ABD federal kurumunun Microsoft Internet Information Services (IIS) web sunucusu, ASP.NET AJAX için Progress Telerik UI bileşenindeki kritik bir .NET serisini kaldırma güvenlik açığından yararlanılarak saldırıya uğradı.
Bugün CISA, FBI ve MS-ISAC tarafından yayınlanan ortak bir danışma belgesine göre, saldırganların, adı açıklanmayan federal sivil yürütme organında (FCEB) bulunan uzlaşma göstergelerine (IOC’ler) dayalı olarak Kasım 2022 ile Ocak 2023’ün başları arasında sunucuya erişimi vardı. ) ajansın ağı.
En az iki tehdit aktörü (bunlardan biri Vietnamlı XE Grubu), uzaktan kod yürütme elde etmek için bu hatayı (CVE-2019-18935) kullanarak yama uygulanmamış sunucuya erişti.
İsimsiz federal sivil yürütme şubesi (FCEB) teşkilatının sunucusunu hackledikten sonra, bilgileri toplamak ve saldırganın kontrolündeki komuta ve kontrol sunucularına sızdırmak için C:\Windows\Temp\ klasörüne kötü amaçlı yükler yerleştirdiler.
Güvenliği ihlal edilmiş IIS sunucusuna yüklenen kötü amaçlı yazılım, sistemdeki izlerini silerek ve kalıcılığı korumak için ters kabukları açarak tespit edilmekten kaçınarak ek yükler dağıtabilir.
Yerel sistemde gezinmek, dosyaları indirmek ve yüklemek ve uzaktan komutları yürütmek için bir arabirim sağlayan bir ASPX web kabuğunu bırakmak için de kullanılabilir.
Bununla birlikte, danışma belgesinde ayrıntılı olarak belirtildiği gibi, “muhtemelen kötüye kullanılan hizmet hesabının kısıtlayıcı yazma izinlerine sahip olması nedeniyle hedef sisteme hiçbir web kabuğunun düştüğü gözlemlenmedi.”
Saldırıya uğrayan Microsoft IIS sunucularına yüklenen kötü amaçlı yazılım hakkında daha fazla bilgi, yine bugün CISA tarafından yayınlanan bu kötü amaçlı yazılım analizi raporunda bulunabilir.
CVE-2019-18935 Telerik UI güvenlik açığı, NSA’nın Çinli bilgisayar korsanları tarafından kötüye kullanılan ilk 25 güvenlik açığına ve FBI’ın en çok hedeflenen güvenlik açıkları listesine de dahil edildi.
Microsoft IIS sunucusu saldırılara maruz kaldı
CISA, Kasım 2021’de CVE-2019-18935 Progress Telerik UI güvenlik açığını Bilinen Yararlanılan Güvenlik Açıkları (KEV) Kataloğuna ekledi.
Kasım 2021’de yayınlanan ve federal kurumların CISA’nın KEV listesine önerilen eylemleri uygulamasını gerektiren bağlayıcı operasyonel yönergeye (BOD 22-01) göre, 3 Mayıs 2022’ye kadar yama yapılmış olması gerekiyordu.
Ancak, bu ihlalle bağlantılı IOC’lere göre ABD federal kurumu, son tarih gelene kadar Microsoft IIS sunucusunun güvenliğini sağlayamadı.
CISA, FBI ve MS-ISAC, bu güvenlik açığını hedefleyen diğer saldırılara karşı koruma sağlamak için birden fazla azaltma önlemi uygulanmasını önermektedir. Öne çıkan bazı noktalar şunlardır:
- Uygun testlerden sonra tüm Telerik UI ASP.NET AJAX örneklerini en son sürüme yükseltin.
- Microsoft IIS ve uzak PowerShell’den oluşturulan etkinlik günlüklerini izleyin ve analiz edin.
- Hizmet hesaplarını, hizmetleri çalıştırmak için gereken minimum izinlerle sınırlayın.
- İnternete bakan sistemlerdeki güvenlik açıklarının düzeltilmesine öncelik verin.
- En son güvenlik yamalarıyla uyumluluğu sağlamak için bir yama yönetimi çözümü uygulayın.
- Güvenlik açığı tarayıcılarının kapsamlı bir cihaz ve konum kapsamını taramak üzere yapılandırıldığından emin olun.
- Ağ bölümlerini role ve işlevselliğe göre ayırmak için ağ bölümlemesini uygulayın.
Üç kuruluş, “Azaltım önlemlerinin uygulanmasına ek olarak, CISA, FBI ve MS-ISAC, kuruluşunuzun güvenlik programının bu danışma belgesinde MITRE ATT&CK for Enterprise çerçevesiyle eşlenen tehdit davranışlarına karşı uygulanmasını, test edilmesini ve doğrulanmasını önermektedir.”
“CISA, FBI ve MS-ISAC, bu danışma belgesinde tanımlanan MITRE ATT&CK tekniklerine karşı en iyi performansı sağlamak için güvenlik programınızın bir üretim ortamında geniş ölçekte sürekli olarak test edilmesini önerir.”