No ano passado, um servidor web Microsoft Internet Information Services (IIS) de uma agência federal dos EUA foi invadido por meio da exploração de uma vulnerabilidade crítica de deserialização .NET no componente Progress Telerik UI for ASP.NET AJAX.
Segundo um aviso conjunto emitido hoje pela CISA, FBI e MS-ISAC, os invasores tiveram acesso ao servidor entre novembro de 2022 e o início de janeiro de 2023, com base em indicadores de comprometimento (IOCs) encontrados na rede da agência federal civil executiva (FCEB) não identificada.
Pelo menos dois grupos de ameaças (um deles o grupo vietnamita XE) acessaram o servidor não corrigido explorando esse bug (
CVE-2019-18935
) para obter execução remota de código.
Após invadir o servidor FCEB não identificado, eles implantaram payloads maliciosos na pasta C:\Windows\Temp\ para coletar e exfiltrar informações para servidores de comando e controle controlados pelo invasor.
O malware instalado no servidor IIS comprometido poderia implantar payloads adicionais, evitando a detecção ao excluir suas evidências no sistema e abrindo shells reversos para manter a persistência.
Também poderia ser usado para soltar um shell da web ASPX que fornece uma interface para navegar no sistema local, baixar e enviar arquivos e executar comandos remotos.
Entretanto, como detalhado no aviso, "nenhum webshell foi observado sendo solto no sistema de destino, provavelmente devido à conta de serviço abusada ter permissões restritivas de gravação".
Mais informações sobre o malware instalado nos servidores Microsoft IIS invadidos podem ser encontradas neste relatório de análise de malware também publicado hoje pela CISA.
A vulnerabilidade de segurança do Progress Telerik UI
CVE-2019-18935
também foi incluída na lista das 25 principais falhas de segurança da NSA exploradas por hackers chineses e na lista de vulnerabilidades-alvo mais importantes do FBI.
A CISA adicionou a vulnerabilidade de segurança do Progress Telerik UI
CVE-2019-18935
ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) em novembro de 2021.
De acordo com a diretiva operacional vinculante (BOD 22-01) emitida em novembro de 2021, que exige que as agências federais incluam a lista KEV da CISA para aplicar as ações recomendadas, deveria ter sido corrigida até 3 de maio de 2022.
Entretanto, com base nos IOCs relacionados a essa violação, a agência federal dos EUA não conseguiu proteger seu servidor Microsoft IIS até que a data limite fosse atingida.
A CISA, o FBI e o MS-ISAC recomendam a aplicação de várias medidas de mitigação para proteger contra outros ataques visando essa vulnerabilidade, com alguns dos destaques incluindo: atualizar todas as instâncias do Telerik UI ASP.NET AJAX para a versão mais recente após testes apropriados; monitorar e analisar logs de atividade gerados a partir do Microsoft IIS e do PowerShell remoto; limitar as contas de serviço às permissões mínimas necessárias para executar serviços; priorizar a remediação de vulnerabilidades em sistemas voltados para a internet; implementar uma solução de gerenciamento de patches para garantir a conformidade com as últimas correções de segurança; garantir que scanners de vulnerabilidades estejam configurados para examinar um escopo abrangente de dispositivos e locais; implementar segmentação de rede para separar segmentos de rede com base na função e funcionalidade.
"Além de aplicar mitigação, CISA, FBI e MS-ISAC recomendam exercitar, testar e validar o programa de segurança de sua organização contra os comportamentos de ameaça mapeados para a estrutura MITRE ATT&CK para empresas neste aviso", também recomendaram as três organizações.
"A CISA, FBI e MS-ISAC recomendam testar continuamente seu programa de segurança, em escala, em um ambiente de produção para garantir um desempenho ótimo contra as técnicas MITRE ATT&CK identificadas neste aviso."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...