Getty Resimleri
ABD hükümeti, biri bir ulus-devlet adına çalışan birden fazla tehdit aktörünün, yama yapılmadan kalan dört yıllık bir güvenlik açığından yararlanarak bir ABD federal kurumunun ağına erişim elde ettiği konusunda uyardı.
Bir grubun istismar faaliyetleri büyük olasılıkla Ağustos 2021’de ve diğeri geçen Ağustos ayında başladı. danışma Siber Güvenlik ve Altyapı Güvenliği Ajansı, FBI ve Çok Devletli Bilgi Paylaşım ve Analiz Merkezi tarafından ortaklaşa yayınlandı. Geçen Kasım ayından Ocak ayının başlarına kadar, sunucu uzlaşma belirtileri gösterdi.
Güvenlik açığı 4 yıldır tespit edilemedi
Her iki grup da, ajansın Microsoft Internet Information Services (IIS) web sunucusunda bulunan ASP.NET AJAX için Telerik kullanıcı arabirimi (UI) olarak bilinen bir geliştirici aracında CVE-2019-18935 olarak izlenen bir kod yürütme güvenlik açığından yararlandı. Danışmanlık, bir ajan olduğunu söylemek dışında ajansın kimliğini belirtmedi. Federal Sivil Yürütme Şube Ajansı CISA yetkisi altında.
ASP.NET AJAX için Telerik UI, merkezi Burlington, Massachusetts ve Hollanda’da Rotterdam’da bulunan Progress adlı bir şirket tarafından satılmaktadır. Araç, geliştiricilerin özel Web uygulamaları oluşturmak için gereken süreyi azaltmak için kullanabilecekleri 100’den fazla UI bileşenini bir araya getirir. 2019’un sonlarında İlerleme piyasaya sürülmüş CVE-2019-18935’i yamalayan 2020.1.114 sürümü, güvenlik açığı bulunan sunucularda uzaktan kod yürütmeyi mümkün kılan güvenli olmayan bir seri kaldırma güvenlik açığı. Güvenlik açığı, olası 10 üzerinden 9,8 önem derecesi taşıyordu. 2020’de NSA, güvenlik açığının sömürülmek Çinli devlet destekli aktörler tarafından.
Perşembe günkü danışma belgesi, “Web sunucusuyla etkileşimli erişimle sonuçlanan bu istismar, tehdit aktörlerinin savunmasız web sunucusunda başarılı bir şekilde uzaktan kod yürütmesini sağladı.” “Ajansın güvenlik açığı tarayıcısı CVE-2019-18935 için uygun eklentiye sahip olsa da Telerik UI yazılımının tipik olarak taramadığı bir dosya yoluna yüklenmesi nedeniyle güvenlik açığını tespit edemedi. Dosya yolları organizasyona ve kurulum yöntemine bağlı olarak büyük ölçüde değiştiğinden, bu durum birçok yazılım kurulumu için geçerli olabilir.”
Daha fazla yama uygulanmamış güvenlik açığı
CVE-2019-18935’ten başarılı bir şekilde yararlanmak için bilgisayar korsanlarının önce Bilgi sahibi olmak Telerik RadAsyncUpload olarak bilinen bir bileşenle kullanılan şifreleme anahtarlarının sayısı. Federal müfettişler, tehdit aktörlerinin şunlardan birini istismar ettiğinden şüpheleniyor: iki güvenlik açıkları 2017’de ajans sunucusunda da yamasız kaldığı keşfedildi.
Her iki gruptan gelen saldırılar, Microsoft Windows’daki yasal dinamik bağlantı kitaplığı dosyalarını kötü amaçlı olanlarla değiştirmeyi içeren, DLL tarafı yükleme olarak bilinen bir teknik kullandı. Grubun yüklediği bazı DLL dosyaları PNG görüntüleri olarak gizlenmişti. Kötü amaçlı dosyalar daha sonra w3wp.exe adlı IIS sunucuları için meşru bir işlem kullanılarak yürütüldü. Virüsten koruma günlüklerinin incelenmesi, yüklenen bazı DLL dosyalarının Ağustos 2021 gibi erken bir tarihte sistemde bulunduğunu tespit etti.
Danışma belgesi, ulus-devlet destekli tehdit grubu hakkında, komuta ve kontrol sunucularını barındırmak için kullandığı IP adreslerini belirlemek dışında çok az şey söyledi. Perşembe günkü danışma belgesinde TA1 olarak anılan grup, ajans ağındaki sistemleri sıralamak için geçen Ağustos ayında CVE-2019-18935’i kullanmaya başladı. Müfettişler, sunucuyu keşfetmek ve güvenlik savunmalarından kaçmak için kullanılan dokuz DLL dosyası belirlediler. 137.184.130 IP adresine sahip bir kontrol sunucusuyla iletişim kuran dosyalar[.]162 veya 45.77.212[.]12. Bu IP adreslerine giden trafik, 443 numaralı bağlantı noktası üzerinden şifrelenmemiş İletim Kontrol Protokolü (TCP) kullandı. Tehdit aktörünün kötü amaçlı yazılımı, ağdaki kötü niyetli etkinliği gizlemek için ek kitaplıklar yükleyebildi ve DLL dosyalarını sildi.
Danışma belgesi, diğer gruptan TA2 olarak bahsetti ve onu güvenlik firması Volexity’den araştırmacıların XE Grubu olarak tanımladı. dedi muhtemelen vietnam’dadır. Hem Volexity hem de diğer güvenlik firması Malwarebytes finansal olarak motive olmuş grubun ödeme kartı incelemesine girdiğini söylediler.
Danışma belgesi, “TA1’e benzer şekilde, TA2, CVE-2019-18935’ten yararlandı ve TA2’nin w3wp.exe işlemi aracılığıyla yürüttüğü C:\Windows\Temp\ dizinine en az üç benzersiz DLL dosyası yükleyebildi.” “Bu DLL dosyaları, kötü amaçlı etki alanlarıyla ilişkili C2 IP adresleriyle şifrelenmemiş iletişim için ters (uzak) kabuk yardımcı programlarını bırakır ve yürütür.”
İhlal, adı açıklanmayan kurumdaki birinin yıllardır mevcut olan bir yamayı yükleyememesinin sonucudur. Daha önce belirtildiği gibi, sistemleri güvenlik açıklarına karşı tarayan araçlar, aramalarını genellikle önceden tanımlanmış belirli bir dizi dosya yolu ile sınırlar. Bu bir federal kurum içinde olabiliyorsa, muhtemelen diğer organizasyonlarda da olabilir.
ASP.NET AJAX için Telerik Kullanıcı Arabirimini kullanan herkes, ifşa olmadığından emin olmak için Perşembe günkü danışma belgesini ve 2019’da yayınlanan İlerleme’yi dikkatlice okumalıdır.
Kaynak : https://arstechnica.com/?p=1924743