16 mars 2023Ravie LakshmananCyberattaque / Vulnérabilité

Vulnérabilité

Plusieurs acteurs de la menace, y compris un groupe d’États-nations, ont exploité une faille de sécurité critique vieille de trois ans dans Progress Telerik pour s’introduire dans une entité fédérale anonyme aux États-Unis

Le divulgation vient d’un conseil conjoint émis par la Cybersecurity and Infrastructure Security Agency (CISA), le Federal Bureau of Investigation (FBI) et le Multi-State Information Sharing and Analysis Center (MS-ISAC).

« L’exploitation de cette vulnérabilité a permis à des acteurs malveillants d’exécuter avec succès du code à distance sur le serveur Web Microsoft Internet Information Services (IIS) d’une agence de l’exécutif civil fédéral (FCEB) », ont déclaré les agences. a dit.

Les indicateurs de compromission (IoC) associés à l’effraction numérique ont été identifiés de novembre 2022 à début janvier 2023.

Publicité

Suivi comme CVE-2019-18935 (score CVSS : 9,8), le problème lié à un .NET vulnérabilité de désérialisation affectant Progress Telerik UI pour ASP.NET AJAX qui, s’il n’est pas corrigé, pourrait conduire à l’exécution de code à distance.

Il convient de noter ici que CVE-2019-18935 a déjà trouvé une place parmi certains des le plus souvent ont exploité les vulnérabilités abusées par divers acteurs de la menace en 2020 et 2021.

CVE-2019-18935, conjointement avec CVE-2017-11317a également été armé par un acteur menaçant suivi sous le nom de Praying Mantis (alias TG2021) pour infiltrer les réseaux d’organisations publiques et privées aux États-Unis.

Le mois dernier, CISA a également ajouté CVE-2017-11357 – un autre bogue d’exécution de code à distance affectant l’interface utilisateur de Telerik – au catalogue de vulnérabilités exploitées connues (KEV), citant des preuves d’exploitation active.

Les acteurs de la menace auraient exploité la faille pour télécharger et exécuter des fichiers de bibliothèque de liens dynamiques (DLL) malveillants se faisant passer pour des images PNG via le processus w3wp.exe.

Les artefacts DLL sont conçus pour collecter des informations système, charger des bibliothèques supplémentaires, énumérer des fichiers et des processus et exfiltrer les données vers un serveur distant.

SÉMINAIRE EN LIGNE

Découvrez les dangers cachés des applications SaaS tierces

Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la façon de minimiser les risques.

RÉSERVEZ VOTRE PLACE

Une autre série d’attaques, observée dès août 2021 et probablement montée par un acteur cybercriminel surnommé Groupe XEimpliquait l’utilisation des techniques d’évasion susmentionnées pour éviter la détection.

Ces fichiers DLL ont supprimé et exécuté des utilitaires shell inversés (distants) pour les communications non chiffrées avec un domaine de commande et de contrôle afin de supprimer des charges utiles supplémentaires, y compris un shell Web ASPX pour un accès par porte dérobée persistant.

Le shell Web est équipé pour « énumérer les lecteurs ; pour envoyer, recevoir et supprimer des fichiers ; et pour exécuter les commandes entrantes » et « contient une interface permettant de parcourir facilement des fichiers, des répertoires ou des lecteurs sur le système, et permet à l’utilisateur de télécharger ou télécharger des fichiers dans n’importe quel répertoire. »

Pour contrer de telles attaques, il est recommandé aux organisations de mettre à niveau leurs instances de Telerik UI ASP.NET AJAX vers la dernière version, de mettre en œuvre la segmentation du réseau et d’appliquer une authentification multifacteur résistante au phishing pour les comptes disposant d’un accès privilégié.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentMaharajan publie Tomo-chan est une fille ! Thème d’ouverture Anime MV rempli de scènes mémorables
Article suivantDMCC s’associe à des entités sud-coréennes clés dans les secteurs de la blockchain et du métaverse
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici