包括一个民族国家集团在内的多个威胁行为者利用Progress Telerik中一个长达三年的关键安全漏洞,闯入了美国一个未具名的联邦实体。 该披露来自网络安全和基础设施安全局(CISA),联邦调查局(FBI)和多州信息共享和分析中心(MS-ISAC)发布的联合咨询。 “利用此漏洞允许恶意行为者在联邦民事行政部门(FCEB)机构的微软互联网信息服务(IIS)Web服务器上成功执行远程代码,”这些机构表示。 与数字闯入相关的入侵指标 (IoC) 是在 2022 年 2023 月至 年 月初确定的。 该问题被跟踪为 CVE-2019-18935(CVSS 分数:9.8),与影响 ASP.NET AJAX 的 Progress Telerik UI 的 .NET 反序列化漏洞有关,如果未修补,可能会导致远程代码执行。 这里值得注意的是,CVE-2019-18935 之前已经在 2020 年和 2021 年各种威胁行为者滥用的一些最常被利用的漏洞中找到了一席之地。 CVE-2019-18935 与 CVE-2017-11317 一起,也被追踪为螳螂(又名 TG2021)的威胁行为者武器化,以渗透美国的公共和私人组织网络。 上个月,CISA还将CVE-2017-11357(另一个影响Telerik UI的远程代码执行错误)添加到已知漏洞(KEV)目录中,引用了主动利用的证据。 在 2022 年 2019 月记录的针对 FCEB 机构的入侵中,据说威胁行为者利用 CVE-18935-3 通过 wwp.exe 进程上传和执行伪装成 PNG 图像的恶意动态链接库 (DLL) 文件。 DLL 项目旨在收集系统信息、加载其他库、枚举文件和进程,以及将数据泄露回远程服务器。 另一组攻击早在 2021 年 月就观察到,可能由被称为 XE Group 的网络犯罪分子发起,需要使用上述规避技术来回避检测。 这些DLL文件删除并执行反向(远程)shell实用程序,用于与命令和控制域的未加密通信,以丢弃其他有效负载,包括用于持久后门访问的ASPX Web shell。 Web 外壳配备有“枚举驱动器;发送、接收和删除文件;并执行传入命令“和”包含一个界面,用于轻松浏览系统上的文件、目录或驱动器,并允许用户将文件上传或下载到任何目录。 为了应对此类攻击,建议组织将其 Telerik UI AJAX 实例升级到最新版本,实施网络分段,并对具有特权访问权限的帐户强制实施防网络钓鱼的多重身份验证。
