Федеральное агентство США беспомощно перед хакерскими атаками уже несколько лет

Несколько независимых хакерских групп злоумышленников воспользовались критической уязвимостью трехлетней давности в Progress Telerik, чтобы проникнуть в системы федерального агентства гражданской исполнительной власти в США. Об этом говорится в совместном бюллетене безопасности , опубликованном CISA , ФБР и Межгосударственным центром обмена и анализа информации (MS-ISAC).

«Эксплуатация этой уязвимости позволила злоумышленникам удалённо выполнить вредоносный код на IIS-сервере федерального агентства гражданской исполнительной власти (FCEB)», — заявили ведомства.

Индикаторы компрометации (IoC), связанные со взломом, показывают, что у хакеров был доступ к системе с ноября 2022 года по начало января 2023 года.

Уязвимость CVE-2019-18935 (CVSS: 9,8) затрагивает пользовательский интерфейс Progress Telerik для ASP.NET AJAX и позволяет злоумышленникам удалённо выполнять код. Уязвимость была обнаружена ещё в конце 2019 года и часто эксплуатировалась киберпреступниками в 2020-2021 годах.

Telerik UI для ASP.NET AJAX — это набор инструментов для разработки веб-приложений на платформе ASP.NET AJAX. Он включает в себя множество готовых компонентов пользовательского интерфейса, таких как кнопки, графики, таблицы, выпадающие списки и многое другое. Эти компоненты помогают упростить процесс разработки и сократить время создания веб-приложений.

Ранее уязвимость CVE-2019-18935 использовалась в сочетании с CVE-2017-11317 злоумышленниками Praying Mantis (они же TG2021) для проникновения в сети государственных и частных организаций в США.

В прошлом месяце CISA также указала другую уязвимость в качестве активно используемой — CVE-2017-11357, способствующую удаленному выполнению кода и влияющую на пользовательский интерфейс Telerik.

Сообщается, что во время вторжения, зарегистрированного против агентства FCEB в августе 2022 года, злоумышленники использовали CVE-2019-18935 для загрузки и выполнения вредоносных DLL -файлов, замаскированных под изображения PNG.

Эти DLL-файлы сбрасывают и запускают утилиты обратной (удаленной) оболочки для незашифрованной связи с C2-сервером, чтобы доставлять дополнительные полезные нагрузки , включая веб-оболочку ASPX для постоянного доступа. Веб-оболочка специально сконструирована для удобной работы с файлами и простого выполнения различных вредоносных команд.

Для противодействия таким атакам организациям рекомендуется обновить свои экземпляры пользовательского интерфейса Telerik ASP.NET AJAX до последней версии, внедрить сегментацию сети и применить многофакторную проверку подлинности с защитой от фишинга для учетных записей с привилегированным доступом.