CISA HACKEADA ¿Y AHORA?

TICSS

Síguenos en nuestras redes sociales: @orangeitcss

Agencia federal de EE.UU. hackeada: los atacantes explotaron la vulnerabilidad de Telerik en el servidor IIS

Una operación conjunta realizada por DHS, FCEB y CISA identificó múltiples intentos de un ataque cibernético en el servidor IIS del gobierno de EE. UU. mediante la explotación de una vulnerabilidad Telerik de deserialización de .NET.

Varios grupos de hackers iniciaron este ataque, incluidos los actores de APT. La explotación exitosa de la vulnerabilidad permite a los atacantes ejecutar un código arbitrario de forma remota en la red de agencias de la rama ejecutiva civil federal (FCEB) donde se presenta la interfaz de usuario (UI) vulnerable de Telerik en el servidor web IIS.

El COI identificado por las agencias federales pertenece al exploit que activa la interfaz de usuario de Telerik para ASP.NET compilaciones AJAX antes de R1 2020 (2020.1.114).

¿Cómo se aprovechó la vulnerabilidad?

El ataque se llevó a cabo desde noviembre de 2022 hasta principios de enero de 2023, dirigido a la vulnerabilidad de deserialización de .NET (CVE-2019-18935) en la función RadAsyncUpload, lo que lleva a los atacantes a explotar la exposición cuando se conocen las claves de cifrado debido a la presencia de CVE-2017-11317.

El servidor Microsoft IIS de la agencia FCEB está configurado con la interfaz de usuario de Telerik para ASP.NET AJAX Q2 2013 SP1 (versión 2013.2.717), y la vulnerabilidad, tras la ejecución exitosa del código remoto, permite a los atacantes obtener acceso interactivo al servidor web.

La agencia FCEB dispone de un plug-in adecuado para detectar esta vulnerabilidad CVE-2019-18935. Sin embargo, la detección falló debido a que el software Telerik UI se instaló en una ruta de archivo que no tiene acceso para escanear y encontrar la vulnerabilidad.

Actividades de los actores de amenazas

CISA y las otras agencias conjuntas identificaron actividades de escaneo y reconocimiento de múltiples actores de amenazas conocidos como actor cibercriminal XE Group y el otro grupo TA2. El intento exitoso de escaneo llevó a explotar la vulnerabilidad.

Una vez que la vulnerabilidad se activa y explota, los actores de amenazas cargan archivos maliciosos de biblioteca de vínculos dinámicos (DLL) en el directorio.C:\Windows\Temp\

Los archivos imitan PNG y se ejecutan con la ayuda del proceso, un proceso legítimo que se ejecuta en servidores IIS para manejar las solicitudes enviadas a los servidores web y entregar contenido.w3wp.exe

«CISA y las organizaciones de creación confirmaron que algunos archivos maliciosos colocados en el servidor IIS son consistentes con una convención de nomenclatura de archivos previamente informada que los actores de amenazas usan comúnmente cuando explotan CVE-2019-18935».

En este caso, CISA observó que TA1 llamado XE Group, comenzó su enumeración del sistema a partir de agosto de 2022 y pudieron cargar archivos DLL maliciosos en el directorio C: \ Windows \ Temp \ y luego lograr la ejecución remota del código, ejecutando los archivos DLL a través del proceso w3wp.exe.

CISA recibió 18 archivos para su análisis de un trabajo de análisis forense realizado en una agencia del Poder Ejecutivo Civil Federal (FCEB).

Mitigaciones

Para minimizar la amenaza de otros ataques dirigidos a esta vulnerabilidad, CISA, el FBI y MS-ISAC recomiendan una serie de medidas de mitigación:

Después de probar correctamente todas las instancias de Telerik UI ASP.NET AJAX, debe actualizar todas las instancias a la versión más reciente.
Con Microsoft IIS y PowerShell remoto, supervise y analice los registros de actividad generados por estos servidores.
Los permisos que se pueden conceder a una cuenta de servicio deben mantenerse al mínimo para ejecutar el servicio.
Es imperativo que las vulnerabilidades en los sistemas que están expuestos a Internet se remedien lo antes posible.
La implementación de una solución de administración de parches es una forma eficiente y efectiva de garantizar que sus sistemas estén siempre actualizados en términos de parches de seguridad.
Es muy importante asegurarse de que los escáneres de vulnerabilidades estén configurados de tal manera que cubran una amplia gama de dispositivos y ubicaciones.
Para separar los segmentos de red de acuerdo con el rol y la función de un usuario, se debe implementar la segmentación de red.

Los actores malintencionados aprovecharon una vulnerabilidad en el servidor web de Microsoft Internet Information Services (IIS) usado por una agencia federal civil del poder ejecutivo (FCEB) y pudieron ejecutar código remoto en el servidor correctamente.

Como resultado de este aviso, el CISA, el FBI y MS-ISAC le animan a probar continuamente su programa de seguridad en un entorno de producción para obtener un rendimiento óptimo en comparación con las técnicas MITRE ATT&CK.

Indicadores de compromiso

11415ac829c17bd8a9c4cef12c3fbc23095cbb3113c89405e489ead5138384cd (1597974061[.] 4531896[.] png)
144492284bcbc0110d34a2b9a44bef90ed0d6cda746df6058b49d3789b0f851d (1666006114[.] 5570521[.] txt)
508dd87110cb5bf5d156a13c2430c215035db216f20f546e4acec476e8d55370 (xesmartshell[.] tmp)
707d22cacdbd94a3e6dc884242c0565bdf10a0be42990cd7a5497b124474889b (1665130178[.] 9134793[.] dll)
72f7d4d3b9d2e406fa781176bd93e8deee0fb1598b67587e1928455b66b73911 (1594142927[.] 995679[.] png)
74544d31cbbf003bc33e7099811f62a37110556b6c1a644393fddd0bac753730 (1665131078[.] 6907752[.] dll)
78a926f899320ee6f05ab96f17622fb68e674296689e8649c95f95dade91e933 (1596686310[.] 434117[.] png)
833e9cf75079ce796ef60fc7039a0b098be4ce8d259ffa53fe2855df110b2e5d (1665128935[.] 8063045[.] dll)
853e8388c9a72a7a54129151884da46075d45a5bcd19c37a7857e268137935aa (1667466391[.] 0658665[.] dll)
8a5fc2b8ecb7ac6c0db76049d7e09470dbc24f1a90026a431285244818866505 (1596923477[.] 4946315[.] png)
a14e2209136dad4f824c6f5986ec5d73d9cc7c86006fd2ceabe34de801062f6b (1665909724[.] 4648924[.] dll)
b4222cffcdb9fb0eda5aa1703a067021bedd8cf7180cdfc5454d0f07d7eaf18f (1665129315[.] 9536858[.] dll)
d69ac887ecc2b714b7f5e59e95a4e8ed2466bed753c4ac328931212c46050b35 (1667465147[.] 4282858[.] dll)
d9273a16f979adee1afb6e55697d3b7ab42fd75051786f8c67a6baf46c4c19c2 (SortVistaCompat)
dedf082f523dfcb75dee0480a2d8a087e3231f89fa34fcd2b7f74866a7b6608f (1665214140[.] 9324195[.] dll)
e044bce06ea49d1eed5e1ec59327316481b8339c3b6e1aecfbb516f56d66e913 (1667465048[.] 8995082[.] dll)
e45ad91f12188a7c3d4891b70e1ee87a3f23eb981804ea72cd23f1d5e331ff5a (1596835329[.] 5015914[.] png)
f5cafe99bccb9d813909876fa536cc980c45687d0f411c5f4b5346dcf6b304e4 (1665132690[.] 6040645[.] dll)

Archivos adicionales

08375e2d187ee53ed263ee6529645e03ead1a8e77afd723a3e0495201452d415 (small[.] aspx)
11d8b9be14097614dedd68839c85e3e8feec08cdab675a5e89c5b055a6a68bad (XEReverseShell[.] exe)
1fed0766f564dc05a119bc7fa0b6670f0da23504e23ece94a5ae27787b674cd2 (xesvrs[.] exe)
5cbba90ba539d4eb6097169b0e9acf40b8c4740a01ddb70c67a8fb1fc3524570 (pequeño[.] txt)
815d262d38a26d5695606d03d5a1a49b9c00915ead1d8a2c04eb47846100e93f (XEReverseShell[.] exe)
a0ab222673d35d750a0290db1b0ce890b9d40c2ab67bfebb62e1a006e9f2479c (Multi-OS_ReverseShell[.] exe)