Bir ulus-devlet grubu da dahil olmak üzere çok sayıda tehdit aktörü, ABD’de isimsiz bir federal varlığa girmek için Progress Telerik’teki üç yıllık kritik bir güvenlik açığından yararlandı.
Açıklama, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve Çok Devletli Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) tarafından yayınlanan ortak bir danışma belgesinden geliyor.
Ajanslar, “Bu güvenlik açığından yararlanılması, kötü niyetli aktörlerin bir federal sivil yürütme şubesi (FCEB) ajansının Microsoft İnternet Bilgi Hizmetleri (IIS) web sunucusunda başarılı bir şekilde uzaktan kod yürütmesine izin verdi” dedi.
Dijital izinsiz girişle ilişkili uzlaşma göstergeleri (IoC’ler), Kasım 2022’den Ocak 2023’ün başına kadar belirlendi.
CVE-2019-18935 (CVSS puanı: 9.8) olarak izlenen sorun, ASP.NET AJAX için Progress Telerik UI’yi etkileyen ve yama uygulanmadan bırakılırsa uzaktan kod yürütülmesine yol açabilecek bir .NET serisini kaldırma güvenlik açığıyla ilgili sorun.
CVE-2019-18935’in daha önce 2020 ve 2021’de çeşitli tehdit aktörleri tarafından kötüye kullanılan en yaygın olarak kullanılan güvenlik açıklarından bazıları arasında bir yer bulduğunu burada belirtmekte fayda var.
CVE-2019-18935, CVE-2017-11317 ile bağlantılı olarak ABD’deki kamu ve özel kuruluşların ağlarına sızmak için Peygamber Devesi (TG2021 olarak da bilinir) olarak takip edilen bir tehdit aktörü tarafından da silah haline getirildi.
Geçen ay, CISA ayrıca Telerik UI’yi etkileyen başka bir uzaktan kod yürütme hatası olan CVE-2017-11357’yi Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna aktif istismara dair kanıtlara atıfta bulunarak ekledi.
Tehdit aktörlerinin, w3wp.exe işlemi aracılığıyla PNG görüntüleri gibi görünen kötü amaçlı dinamik bağlantı kitaplığı (DLL) dosyalarını yüklemek ve yürütmek için kusurdan yararlandıkları söyleniyor.
DLL yapıları, sistem bilgilerini toplamak, ek kitaplıklar yüklemek, dosyaları ve işlemleri numaralandırmak ve verileri uzak bir sunucuya geri sızdırmak için tasarlanmıştır.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Ağustos 2021 gibi erken bir tarihte gözlemlenen ve büyük olasılıkla XE Group adlı bir siber suçlu aktör tarafından düzenlenen başka bir dizi saldırı, tespitten kaçınmak için yukarıda belirtilen kaçırma tekniklerinin kullanılmasını gerektirdi.
Bu DLL dosyaları, kalıcı arka kapı erişimi için bir ASPX web kabuğu da dahil olmak üzere ek yükleri bırakmak için bir komut ve kontrol alanıyla şifrelenmemiş iletişim için ters (uzak) kabuk yardımcı programlarını bıraktı ve yürüttü.
Web kabuğu, “sürücüleri numaralandırmak; dosyaları göndermek, almak ve silmek; ve gelen komutları yürütmek” için donatılmıştır ve “sistemdeki dosyalara, dizinlere veya sürücülere kolayca göz atmak için bir arabirim içerir ve kullanıcının veya dosyaları herhangi bir dizine indirin.”
Bu tür saldırılara karşı koymak için kuruluşların Telerik UI ASP.NET AJAX örneklerini en son sürüme yükseltmeleri, ağ segmentasyonu uygulamaları ve ayrıcalıklı erişime sahip hesaplar için kimlik avına dayanıklı çok faktörlü kimlik doğrulamayı zorlamaları önerilir.