Гетти Изображений
Правительство США предупредило, что несколько злоумышленников, один из которых работает от имени национального государства, получили доступ к сети федерального агентства США, воспользовавшись уязвимостью четырехлетней давности, которая оставалась неисправленной.
Эксплойтная деятельность одной группы, вероятно, началась в августе 2021 года, а в августе прошлого года — другой, согласно бюллетеню, совместно опубликованному Агентством кибербезопасности и безопасности инфраструктуры, ФБР и Межгосударственным центром обмена и анализа информации. С ноября прошлого года до начала января сервер демонстрировал признаки компрометации.
Уязвимость не обнаруживалась 4 года
Обе группы использовали уязвимость выполнения кода, отслеживаемую как CVE-2019-18935, в инструменте разработчика, известном как пользовательский интерфейс (UI) Telerik для ASP.NET AJAX, который находился на веб-сервере Microsoft Internet Information Services (IIS) агентства. В бюллетене не упоминалось агентство, кроме того, что это было Федеральное агентство гражданской исполнительной власти, находящееся в ведении CISA.
Пользовательский интерфейс Telerik для ASP.NET AJAX продается компанией Progress со штаб-квартирой в Берлингтоне, штат Массачусетс, и Роттердаме, Нидерланды. Инструмент объединяет более 100 компонентов пользовательского интерфейса, которые разработчики могут использовать для сокращения времени, необходимого для создания пользовательских веб-приложений. В конце 2019 года Progress выпустила версию 2020.1.114, исправляющую CVE-2019-18935 — небезопасную уязвимость десериализации, которая позволяла удаленно выполнять код на уязвимых серверах. Уязвимость имеет рейтинг серьезности 9,8 из 10 возможных. В 2020 году АНБ предупредило, что уязвимость используется субъектами, спонсируемыми китайским государством.
«Этот эксплойт, который приводит к интерактивному доступу к веб-серверу, позволил злоумышленникам успешно выполнить удаленный код на уязвимом веб-сервере», — поясняется в бюллетене, опубликованном в четверг. «Хотя сканер уязвимостей агентства имел соответствующий плагин для CVE-2019-18935, он не смог обнаружить уязвимость из-за того, что программное обеспечение пользовательского интерфейса Telerik было установлено по пути к файлу, которое оно обычно не сканирует. Это может иметь место для многих установок программного обеспечения, поскольку пути к файлам сильно различаются в зависимости от организации и метода установки».
Больше неисправленных уязвимостей
Чтобы успешно использовать CVE-2019-18935, хакеры должны сначала знать ключи шифрования, используемые с компонентом, известным как Telerik RadAsyncUpload. Федеральные следователи подозревают, что злоумышленники использовали одну из двух уязвимостей, обнаруженных в 2017 году, которые также остались неисправленными на сервере агентства.
Атаки обеих групп использовали технику, известную как боковая загрузка DLL, которая включает замену законных файлов библиотеки динамической компоновки в Microsoft Windows вредоносными. Некоторые файлы DLL, загруженные группой, были замаскированы под изображения PNG. Затем вредоносные файлы запускались с использованием легитимного процесса для серверов IIS под названием w3wp.exe. Проверка журналов антивируса показала, что некоторые из загруженных DLL-файлов присутствовали в системе еще в августе 2021 года.
В бюллетене мало что говорилось о группе угроз, спонсируемой государством, за исключением указания IP-адресов, которые она использовала для размещения серверов управления и контроля. Группа, именуемая в бюллетене в четверг как TA1, начала использовать CVE-2019-18935 в августе прошлого года для перечисления систем внутри сети агентства. Следователи обнаружили девять DLL-файлов, которые использовались для изучения сервера и обхода средств защиты. Файлы передавались с управляющим сервером с IP-адресом 137.184.130.[.]162 или 45.77.212[.]12. Для трафика на эти IP-адреса использовался незашифрованный протокол управления передачей (TCP) через порт 443. Вредоносная программа злоумышленника смогла загрузить дополнительные библиотеки и удалить DLL-файлы, чтобы скрыть вредоносную активность в сети.
В бюллетене другая группа называлась TA2 и определялась как XE Group, которая, по словам исследователей из охранной фирмы Volexity, вероятно, базируется во Вьетнаме. И Volexity, и другая охранная фирма Malwarebytes заявили, что финансово мотивированная группа занимается скиммингом платежных карт.
«Подобно TA1, TA2 воспользовался CVE-2019-18935 и смог загрузить как минимум три уникальных DLL-файла в каталог C:WindowsTemp, которые TA2 выполнил через процесс w3wp.exe», — говорится в бюллетене. «Эти файлы DLL удаляют и запускают утилиты обратной (удаленной) оболочки для незашифрованной связи с IP-адресами C2, связанными с вредоносными доменами».
Нарушение является результатом того, что кто-то из неназванного агентства не смог установить патч, который был доступен в течение многих лет. Как отмечалось ранее, инструменты, сканирующие системы на наличие уязвимостей, часто ограничивают свои поиски определенным набором предопределенных путей к файлам. Если это может произойти внутри федерального агентства, это, вероятно, может произойти и в других организациях.
Любой, кто использует пользовательский интерфейс Telerik для ASP.NET AJAX, должен внимательно прочитать рекомендации, опубликованные в четверг, а также один Progress, опубликованный в 2019 году, чтобы убедиться, что они не раскрыты.
