Plusieurs acteurs de la menace, y compris un groupe d’États-nations, ont exploité une faille de sécurité critique vieille de trois ans dans Progress Telerik pour s’introduire dans une entité fédérale anonyme aux États-Unis
Le divulgation vient d’un conseil conjoint émis par la Cybersecurity and Infrastructure Security Agency (CISA), le Federal Bureau of Investigation (FBI) et le Multi-State Information Sharing and Analysis Center (MS-ISAC).
« L’exploitation de cette vulnérabilité a permis à des acteurs malveillants d’exécuter avec succès du code à distance sur le serveur Web Microsoft Internet Information Services (IIS) d’une agence de l’exécutif civil fédéral (FCEB) », ont déclaré les agences. a dit.
Les indicateurs de compromission (IoC) associés à l’effraction numérique ont été identifiés de novembre 2022 à début janvier 2023.
Suivi comme CVE-2019-18935 (score CVSS : 9,8), le problème lié à un .NET vulnérabilité de désérialisation affectant Progress Telerik UI pour ASP.NET AJAX qui, s’il n’est pas corrigé, pourrait conduire à l’exécution de code à distance.
Il convient de noter ici que CVE-2019-18935 a déjà trouvé une place parmi certains des le plus souvent ont exploité les vulnérabilités abusées par divers acteurs de la menace en 2020 et 2021.
CVE-2019-18935, conjointement avec CVE-2017-11317a également été armé par un acteur menaçant suivi sous le nom de Praying Mantis (alias TG2021) pour infiltrer les réseaux d’organisations publiques et privées aux États-Unis.
Le mois dernier, CISA a également ajouté CVE-2017-11357 – un autre bogue d’exécution de code à distance affectant l’interface utilisateur de Telerik – au catalogue de vulnérabilités exploitées connues (KEV), citant des preuves d’exploitation active.
Les acteurs de la menace auraient exploité la faille pour télécharger et exécuter des fichiers de bibliothèque de liens dynamiques (DLL) malveillants se faisant passer pour des images PNG via le processus w3wp.exe.
Les artefacts DLL sont conçus pour collecter des informations système, charger des bibliothèques supplémentaires, énumérer des fichiers et des processus et exfiltrer les données vers un serveur distant.
Découvrez les dangers cachés des applications SaaS tierces
Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la façon de minimiser les risques.
Une autre série d’attaques, observée dès août 2021 et probablement montée par un acteur cybercriminel surnommé Groupe XEimpliquait l’utilisation des techniques d’évasion susmentionnées pour éviter la détection.
Ces fichiers DLL ont supprimé et exécuté des utilitaires shell inversés (distants) pour les communications non chiffrées avec un domaine de commande et de contrôle afin de supprimer des charges utiles supplémentaires, y compris un shell Web ASPX pour un accès par porte dérobée persistant.
Le shell Web est équipé pour « énumérer les lecteurs ; pour envoyer, recevoir et supprimer des fichiers ; et pour exécuter les commandes entrantes » et « contient une interface permettant de parcourir facilement des fichiers, des répertoires ou des lecteurs sur le système, et permet à l’utilisateur de télécharger ou télécharger des fichiers dans n’importe quel répertoire. »
Pour contrer de telles attaques, il est recommandé aux organisations de mettre à niveau leurs instances de Telerik UI ASP.NET AJAX vers la dernière version, de mettre en œuvre la segmentation du réseau et d’appliquer une authentification multifacteur résistante au phishing pour les comptes disposant d’un accès privilégié.
