Американские власти сообщили, что несколько злоумышленников (включая правительственных хакеров) получили доступ к сети неназванного федерального ведомства в США, воспользовавшись уязвимостью четырехлетней давности, которая оставалась неисправленной.
Специалисты Агентства по инфраструктуре и кибербезопасности США (CISA) , что одна группировка воспользовалась уязвимостью еще в августе 2021 года, а вторая хак-группа эксплуатировала баг в августе 2022 года. В итоге с ноября прошлого года и до начала января 2023 года сервер демонстрировал признаки компрометации.
Баг, который использовали злоумышленники, это уязвимость в UI-компоненте Telerik ASP.NET AJAX, связанная с десериализацией, что позволяет удаленно выполнять код на уязвимых серверах. Как оказалось, уязвимым перед этой проблемой был веб-сервер Microsoft Internet Information Services (IIS) неназванного федерального агентства.
Эта проблема была исправлена разработчиками еще в 2019 году, когда Progress версию 2020.1.114. Ошибка набрала 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS, и в 2020 году специалисты АНБ , что проблему активно эксплуатируют китайские правительственные хакеры.
Чтобы воспользоваться CVE-2019-18935, хакеры должны были получить ключи шифрования, используемые компонентом Telerik RadAsyncUpload. Эксперты пишут, что для этого злоумышленники, вероятно, применили одну из , обнаруженных в 2017 году, которые тоже оставались неисправленными на государственном сервере.
В итоге обе группировки использовали CVE-2019-18935 для загрузки и выполнения вредоносных файлов DLL, маскирующихся под изображения PNG, через процесс w3wp.exe. Эти DLL предназначались для сбора системной информации, загрузки дополнительных библиотек, перечисления файлов, процессов, обхода средств защиты, создания реверс-шеллов, а также передачи данных на удаленные серверы. Проверка логов показала, что некоторые из загруженных DLL присутствовали в системе еще в августе 2021 года.
Тогда как правительственная хак-группа фигурирует в отчете экспертов лишь под идентификатором TA1, вторая группировка (TA2), судя по всему, также известна под названием XE Group. Деятельность этих злоумышленников в 2021 году подробно описывали эксперты из ИБ-компании По их данным, группировка базируется во Вьетнаме и «сделала себе имя» именно на компрометации продукции Progress Telerik.
По информации компании , это финансово мотивированная группировка, которая в основном занимается веб-скиммингом банковских карт.
Специалисты Агентства по инфраструктуре и кибербезопасности США (CISA) , что одна группировка воспользовалась уязвимостью еще в августе 2021 года, а вторая хак-группа эксплуатировала баг в августе 2022 года. В итоге с ноября прошлого года и до начала января 2023 года сервер демонстрировал признаки компрометации.
Баг, который использовали злоумышленники, это уязвимость в UI-компоненте Telerik ASP.NET AJAX, связанная с десериализацией, что позволяет удаленно выполнять код на уязвимых серверах. Как оказалось, уязвимым перед этой проблемой был веб-сервер Microsoft Internet Information Services (IIS) неназванного федерального агентства.
Эта проблема была исправлена разработчиками еще в 2019 году, когда Progress версию 2020.1.114. Ошибка набрала 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS, и в 2020 году специалисты АНБ , что проблему активно эксплуатируют китайские правительственные хакеры.
Чтобы воспользоваться CVE-2019-18935, хакеры должны были получить ключи шифрования, используемые компонентом Telerik RadAsyncUpload. Эксперты пишут, что для этого злоумышленники, вероятно, применили одну из , обнаруженных в 2017 году, которые тоже оставались неисправленными на государственном сервере.
В итоге обе группировки использовали CVE-2019-18935 для загрузки и выполнения вредоносных файлов DLL, маскирующихся под изображения PNG, через процесс w3wp.exe. Эти DLL предназначались для сбора системной информации, загрузки дополнительных библиотек, перечисления файлов, процессов, обхода средств защиты, создания реверс-шеллов, а также передачи данных на удаленные серверы. Проверка логов показала, что некоторые из загруженных DLL присутствовали в системе еще в августе 2021 года.
Тогда как правительственная хак-группа фигурирует в отчете экспертов лишь под идентификатором TA1, вторая группировка (TA2), судя по всему, также известна под названием XE Group. Деятельность этих злоумышленников в 2021 году подробно описывали эксперты из ИБ-компании По их данным, группировка базируется во Вьетнаме и «сделала себе имя» именно на компрометации продукции Progress Telerik.
По информации компании , это финансово мотивированная группировка, которая в основном занимается веб-скиммингом банковских карт.
