DHS, FCEB ve CISA tarafından yürütülen ortak bir operasyon, bir .NET serisini kaldırma Telerik Güvenlik Açığı’ndan yararlanarak ABD Hükümeti IIS Sunucusuna yönelik çok sayıda siber saldırı girişimi belirledi.
APT aktörleri de dahil olmak üzere birden fazla bilgisayar korsanı grubu bu saldırıyı başlattı. Güvenlik açığından başarıyla yararlanılması, saldırganların savunmasız Telerik kullanıcı arabiriminin (UI) IIS web sunucusunda sunulduğu federal sivil yürütme şubesi (FCEB) ajans ağında uzaktan rastgele bir kod yürütmesine olanak tanır.
Federal kurumlar tarafından belirlenen IOC, R1 2020’den (2020.1.114) önce ASP.NET AJAX derlemeleri için Telerik kullanıcı arabirimini tetikleyen açıktan yararlanmaya aittir.
Güvenlik Açığı Nasıl Kullanıldı?
Saldırı, Kasım 2022’den Ocak 2023’ün başlarına kadar, RadAsyncUpload işlevindeki .NET serisini kaldırma güvenlik açığını (CVE-2019-18935) hedefleyerek gerçekleştirildi ve saldırganların, CVE-2017’nin varlığı nedeniyle şifreleme anahtarları bilindiğinde bu açıktan yararlanmalarına yol açtı. -11317.
FCEB ajansının Microsoft IIS sunucusu, ASP.NET AJAX Q2 2013 SP1 (sürüm 2013.2.717) için Telerik UI ile yapılandırılmıştır ve güvenlik açığı, başarılı bir uzaktan kod yürütmenin ardından saldırganların web sunucusuna etkileşimli erişim kazanmasına olanak tanır.
FCEB ajansı, bu güvenlik açığı CVE-2019-18935’i tespit etmek için uygun bir eklentiye sahiptir. Ancak, Telerik UI yazılımının güvenlik açığını tarama ve bulma erişimi olmayan bir dosya yoluna yüklenmesi nedeniyle algılama başarısız oldu.
Tehdit Aktörlerinin Faaliyetleri
CISA ve diğer birleştirilmiş kurumlar, siber suç aktörü XE Group ve diğer TA2 grubu olarak bilinen çok sayıda tehdit aktörünün tarama ve keşif faaliyetlerini belirledi. Başarılı tarama girişimi, güvenlik açığından yararlanmaya yol açtı.
Güvenlik açığı tetiklendikten ve istismar edildikten sonra, Tehdit aktörleri kötü amaçlı dinamik bağlantı kitaplığı (DLL) dosyalarını C:\Windows\Temp\
dizin.
Dosyalar PNG’yi taklit eder ve w3wp.exe
süreç—web sunucularına gönderilen istekleri işlemek ve içerik teslim etmek için IIS sunucularında çalışan meşru bir süreç.
“CISA ve yazar kuruluşlar, IIS sunucusuna bırakılan bazı kötü amaçlı dosyaların, tehdit aktörlerinin CVE-2019-18935’ten yararlanırken yaygın olarak kullandıkları önceden bildirilen bir dosya adlandırma kuralıyla tutarlı olduğunu doğruladı.”
Bu durumda CISA, XE Group adlı TA1’in Ağustos 2022’den itibaren sistem numaralandırmasına başladığını ve kötü amaçlı DLL dosyalarını C:\Windows\Temp\ dizinine yükleyebildiğini ve ardından DLL dosyalarını çalıştırarak uzaktan kod yürütmeyi başardığını gözlemledi. w3wp.exe işlemi aracılığıyla.
CISA, bir Federal Sivil Yürütme Şubesi (FCEB) kurumunda yürütülen bir adli tıp analizi görevinden analiz için 18 dosya aldı.
Azaltmalar
Bu güvenlik açığını hedefleyen diğer saldırıların tehdidini en aza indirmek için CISA, FBI ve MS-ISAC bir dizi hafifletme önlemi önermektedir:-
- Tüm Telerik UI ASP.NET AJAX örneklerinin uygun şekilde test edilmesinden sonra, tüm örnekleri en son sürüme yükseltmelisiniz.
- Microsoft IIS ve uzak PowerShell kullanarak, bu sunucular tarafından oluşturulan etkinlik günlüklerini izleyin ve analiz edin.
- Bir hizmet hesabına verilebilecek izinler, hizmetin çalışabilmesi için minimumda tutulmalıdır.
- İnternete açık sistemlerdeki güvenlik açıklarının bir an önce giderilmesi zorunludur.
- Bir yama yönetimi çözümü uygulamak, sistemlerinizin güvenlik yamaları açısından her zaman güncel olmasını sağlamanın verimli ve etkili bir yoludur.
- Güvenlik açığı tarayıcılarının kapsamlı bir cihaz ve konum yelpazesini kapsayacak şekilde yapılandırılmasını sağlamak çok önemlidir.
- Ağ segmentlerini bir kullanıcının rolüne ve işlevine göre ayırmak için ağ segmentasyonu uygulanmalıdır.
Kötü niyetli kişiler, bir federal sivil yürütme organı kurumu (FCEB) tarafından kullanılan Microsoft Internet Information Services (IIS) web sunucusundaki bir güvenlik açığından yararlandı ve sunucuda başarılı bir şekilde uzaktan kod yürütmeyi başardı.
Bu danışma belgesinin bir sonucu olarak, CISA, FBI ve MS-ISAC, güvenlik programınızı bir üretim ortamında optimum performans için MITRE ATT&CK tekniklerine karşı sürekli olarak test etmenizi önerir.
Uzlaşma Göstergeleri
- 11415ac829c17bd8a9c4cef12c3fbc23095cbb3113c89405e489ead5138384cd (1597974061)[.]4531896[.]png)
- 144492284bcbc0110d34a2b9a44bef90ed0d6cda746df6058b49d3789b0f851d (1666006114)[.]5570521[.]txt)
- 508dd87110cb5bf5d156a13c2430c215035db216f20f546e4acec476e8d55370 (xesmartshell[.]tmp)
- 707d22cacdbd94a3e6dc884242c0565bdf10a0be42990cd7a5497b124474889b (1665130178)[.]9134793[.]dll)
- 72f7d4d3b9d2e406fa781176bd93e8deee0fb1598b67587e1928455b66b73911 (1594142927)[.]995679[.]png)
- 74544d31cbbf003bc33e7099811f62a37110556b6c1a644393fddd0bac753730 (1665131078)[.]6907752[.]dll)
- 78a926f899320ee6f05ab96f17622fb68e674296689e8649c95f95dade91e933 (1596686310)[.]434117[.]png)
- 833e9cf75079ce796ef60fc7039a0b098be4ce8d259ffa53fe2855df110b2e5d (1665128935)[.]8063045[.]dll)
- 853e8388c9a72a7a54129151884da46075d45a5bcd19c37a7857e268137935aa (1667466391)[.]0658665[.]dll)
- 8a5fc2b8ecb7ac6c0db76049d7e09470dbc24f1a90026a431285244818866505 (1596923477)[.]4946315[.]png)
- a14e2209136dad4f824c6f5986ec5d73d9cc7c86006fd2ceabe34de801062f6b (1665909724)[.]4648924[.]dll)
- b4222cffcdb9fb0eda5aa1703a067021bedd8cf7180cdfc5454d0f07d7eaf18f (1665129315)[.]9536858[.]dll)
- d69ac887ecc2b714b7f5e59e95a4e8ed2466bed753c4ac328931212c46050b35 (1667465147)[.]4282858[.]dll)
- d9273a16f979adee1afb6e55697d3b7ab42fd75051786f8c67a6baf46c4c19c2 (SortVistaCompat)
- dedf082f523dfcb75dee0480a2d8a087e3231f89fa34fcd2b7f74866a7b6608f (1665214140)[.]9324195[.]dll)
- e044bce06ea49d1eed5e1ec59327316481b8339c3b6e1aecfbb516f56d66e913 (1667465048)[.]8995082[.]dll)
- e45ad91f12188a7c3d4891b70e1ee87a3f23eb981804ea72cd23f1d5e331ff5a (1596835329)[.]5015914[.]png)
- f5cafe99bccb9d813909876fa536cc980c45687d0f411c5f4b5346dcf6b304e4 (1665132690)[.]6040645[.]dll)
Ek belgeler
- 08375e2d187ee53ed263ee6529645e03ead1a8e77afd723a3e0495201452d415 (küçük[.]aspx)
- 11d8b9be14097614dedd68839c85e3e8feec08cdab675a5e89c5b055a6a68bad (XEReverseShell[.]exe)
- 1fed0766f564dc05a119bc7fa0b6670f0da23504e23ece94a5ae27787b674cd2 (xesvrs)[.]exe)
- 5cbba90ba539d4eb6097169b0e9acf40b8c4740a01ddb70c67a8fb1fc3524570 (küçük[.]txt)
- 815d262d38a26d5695606d03d5a1a49b9c00915ead1d8a2c04eb47846100e93f (XEReververseShell[.]exe)
- a0ab222673d35d750a0290db1b0ce890b9d40c2ab67bfebb62e1a006e9f2479c (Multi-OS_ReverseShell[.]exe)
Etki alanları
- hivnd[.]iletişim
- xegrupları[.]iletişim
- xework[.]iletişim
IP’ler
- 137[.]184[.]130[.]162
- 144[.]96[.]103[.]245
- 184[.]168[.]104[.]171
- 45[.]77[.]212[.]12
Bulgular
144492284bcbc0110d34a2b9a44bef90ed0d6cda746df6058b49d3789b0f851d
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin