ABD CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), FBI (Federal Soruşturma Bürosu) ve MS-ISAC’ın (Çok Devletli Bilgi Paylaşımı ve Analiz Merkezi) ortak bir danışmanlığına göre, finansal olarak motive olmuş bilgisayar korsanları ve APT tehdit aktörleri üç yıllık bir Telerik güvenlik açığı.
Bildirildiğine göre, saldırı bir ABD hükümetini etkiledi. Bu dijital istila için taviz göstergeleri (IoC’ler) Kasım 2022’de keşfedildi ve Ocak 2023’e kadar devam etti.
Bilgin olsun, Telerik uygulama geliştirme yazılımı dünya çapında birçok yüksek profilli şirket tarafından kullanılmaktadır. Bu ürünlerdeki herhangi bir kusur, siber suçlular için oldukça değerlidir.
bu danışma bir ulus-devlet grubu da dahil olmak üzere çok sayıda tehdit aktörünün bu güvenlik açığından yararlandığını belirtir. Güvenlik açığı, Progress Software’in Telerik’inde keşfedildi ve ABD’deki federal hükümet kurumlarına sızmak için kullanıldı.
Ağustos 2022’de federal sivil yürütme organını (FCEB) hedef alan bir saldırı gözlemlendi. Tehdit aktörleri, w3wp.exe işlemi aracılığıyla PNG görüntüleri olarak gizlenen kötü amaçlı DLL dosyalarını yüklemek ve yürütmek için kusurdan yararlandı. Bu dosyalar sistem verilerini toplar, sisteme kitaplıklar yükler ve çalınan verileri saldırgan tarafından işletilen uzak bir sunucuya aktarmak için işlemleri ve dosyaları sıralar.
Kötü niyetli tehdit aktörleri, bu kusurdan yararlanarak FCEB’nin Microsoft IIS (İnternet Bilgi Servisleri) web sunucusunda uzaktan kod çalıştırabilir. Daha fazla araştırma, sunucunun ASP.NET AJAX uygulama geliştirme kitaplığı için Progress Telerik UI’nin savunmasız bir örneğini barındırdığını ortaya çıkardı.
Ancak CISA, IIS sunucusuna sızan saldırganın adını açıklamadı ancak Vietnam’dan XE Group olarak tanımlanan bir siber suç çetesinin de aynı makineyi istismar ettiğini belirtti. Bu grubun ilk etkinliği, bilgisayar korsanlarının sistem verilerini toplayan ve ele geçirilen sisteme yeni bileşenler dağıtan DLL dosyalarını teslim ettiği Ağustos 2021’de fark edildi.
Güvenlik açığı, CVSS puanı 9.8 olan CVE-2019-18935 olarak izleniyor ve uzaktan kod yürütülmesi için istismar ediliyor. Sorun, yama yapılmadan bırakılırsa Telerik yazılımını kullanan şirket için tehlikeli olabilecek bir .NET serisini kaldırma güvenlik açığıyla ilgilidir. Aynı kusur daha önce 2020 ve 2021’de, yaygın olarak kullanılan diğer güvenlik açıklarının yanı sıra keşfedilmişti.
Ayrıca, CVE-2017-11317 olarak izlenen başka bir güvenlik açığıyla bağlantılı olarak bu kusur, ABD’deki özel ve kamu kuruluşlarının ağlarını istila etmek için Praying Mantis tehdit aktörü tarafından silah haline getirildi.
CVE-2019-18935, CVE-2017-11357 olarak izlenen başka bir güvenlik açığına bağlıdır. Bu, Telerik yazılımında bulunan eski bir kusurdur ve istismar, bir saldırganın CVE-2019-18935’in istismarını kolaylaştırabilecek şifreleme anahtarları elde etmesine olanak sağlayabilir.
2020’de CVE-2019-18935, NSA tarafından Çin devlet destekli aktörler tarafından en yaygın olarak kullanılan kusurlardan biri olarak adlandırıldı. Nisan 2022’de ABD, İngiltere, Kanada, Avustralya ve Yeni Zelanda’daki siber güvenlik firmaları, onu yaygın olarak kullanılan güvenlik açıkları listelerine dahil etti.
ALAKALI HABERLER
- Avast, ABD Federal Ajans Ağında arka kapı buldu
- Magecart skimming saldırısı 8 ABD hükümet tesisini vurdu
- CISA, kötü amaçlı reklamcılığı savuşturmak için reklam engelleyicilerin kullanılmasını öneriyor
- Rusya, ABD Nükleer Ajansı dahil 40 kuruluşu hedef aldı