استغل العديد من الجهات الفاعلة في التهديد ، بما في ذلك مجموعة الدولة القومية ، ثغرة أمنية خطيرة عمرها ثلاث سنوات في Progress Telerik لاقتحام كيان فيدرالي غير مسمى في الولايات المتحدة
يأتي الكشف من استشارة مشتركة صادرة عن وكالة الأمن السيبراني وأمن البنية التحتية (CISA) ، ومكتب التحقيقات الفيدرالي (FBI) ، ومركز تبادل المعلومات وتحليلها متعدد الدول (MS-ISAC).
وقالت الوكالات إن "استغلال هذه الثغرة سمح للجهات الفاعلة الخبيثة بتنفيذ التعليمات البرمجية عن بُعد بنجاح على خادم ويب Microsoft Internet Information Services (IIS) التابع للفرع التنفيذي المدني الفيدرالي (FCEB)" .
تم تحديد مؤشرات التسوية (IoCs) المرتبطة بالاختراق الرقمي من نوفمبر 2022 حتى أوائل يناير 2023.
تم تتبع المشكلة كـ CVE-2019-18935 (درجة CVSS: 9.8) ، وتتعلق المشكلة بثغرة أمنية لإلغاء التسلسل .NET تؤثر على Progress Telerik UI لـ ASP.NET AJAX والتي ، إذا تُركت دون إصلاح ، فقد تؤدي إلى تنفيذ التعليمات البرمجية عن بُعد .
تجدر الإشارة هنا إلى أن CVE-2019-18935 قد وجدت سابقًا مكانًا بين بعض نقاط الضعف الأكثر شيوعًا التي يتم استغلالها من قبل جهات التهديد المختلفة في عامي 2020 و 2021.
تم أيضًا استخدام CVE-2019-18935 ، جنبًا إلى جنب مع CVE-2017-11317 ، من قبل ممثل تهديد تم تعقبه باسم فرس النبي (المعروف أيضًا باسم TG2021) للتسلل إلى شبكات المنظمات العامة والخاصة في الولايات المتحدة
في الشهر الماضي ، أضافت CISA أيضًا CVE-2017-11357 - خطأ آخر في تنفيذ التعليمات البرمجية عن بُعد يؤثر على Telerik UI - إلى كتالوج الثغرات المستغلة المعروفة (KEV) ، مستشهدة بأدلة على الاستغلال النشط.
يُقال إن الجهات الفاعلة في مجال التهديد قد استفادت من الخلل في تحميل وتنفيذ ملفات مكتبة الارتباط الديناميكي الضارة (DLL) التي تتنكر في شكل صور PNG عبر عملية w3wp.exe .
تم تصميم عناصر DLL لجمع معلومات النظام ، وتحميل مكتبات إضافية ، وتعداد الملفات والعمليات ، وإعادة نقل البيانات إلى خادم بعيد.
مجموعة أخرى من الهجمات ، التي لوحظت في وقت مبكر من آب (أغسطس) 2021 ومن المحتمل أن يقوم بها ممثل مجرم إلكتروني يُدعى XE Group ، استلزم استخدام تقنيات التهرب المذكورة أعلاه لتجنب الاكتشاف.
تم إسقاط ملفات DLL هذه وتنفيذها لأدوات مساعدة shell العكسية (عن بُعد) للاتصالات غير المشفرة مع مجال القيادة والتحكم لإسقاط الحمولات الإضافية ، بما في ذلك غلاف ويب ASPX للوصول المستمر إلى الباب الخلفي.
تم تجهيز web shell لـ "تعداد محركات الأقراص ؛ لإرسال الملفات واستلامها وحذفها ؛ ولتنفيذ الأوامر الواردة" و "يحتوي على واجهة لتصفح الملفات أو الدلائل أو محركات الأقراص بسهولة على النظام ، ويسمح للمستخدم بتحميل أو تنزيل الملفات إلى أي دليل ".
لمواجهة مثل هذه الهجمات ، يوصى بأن تقوم المؤسسات بترقية مثيلاتها من Telerik UI ASP.NET AJAX إلى أحدث إصدار ، وتنفيذ تجزئة الشبكة ، وفرض مصادقة متعددة العوامل مقاومة للتصيد الاحتيالي للحسابات التي تتمتع بامتيازات الوصول.