Telerik UI漏洞已存在3年之久,被用于攻击美国联邦机构

admin 2023年3月16日20:41:34评论131 views字数 1374阅读4分34秒阅读模式

Telerik UI漏洞已存在3年之久,被用于攻击美国联邦机构 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Telerik UI漏洞已存在3年之久,被用于攻击美国联邦机构
包括一个国家黑客组织在内的多个威胁组织,利用Progress Telerik 中已存在三年之久的严重漏洞,攻陷美国某联邦实体。
Telerik UI漏洞已存在3年之久,被用于攻击美国联邦机构

美国网络安全和基础设施局 (CISA)、联邦调查局 (FBI)和多州信息共享和分析中心 (MS-ISAC) 发布联合公告指出,“恶意人员可利用该漏洞,成功在联邦民事行政部门 (FCEB)的微软互联网信息服务 (IIS) web服务器上执行远程代码。”与该攻击相关联的妥协指标 (IoCs) 在2022年11月至2023年1月初之间发现。

该漏洞是CVE-2019-18935,CVSS评分为9.8,与影响ASP.NET AJAX版的Progress Telerik UI的.NET反序列化漏洞有关。如不修复该漏洞,则可导致远程代码执行后果。

值得注意的是,该漏洞是攻击者在2020年至2021年间最常被利用的漏洞之一。威胁组织 Praying Mantis (即TG2021)曾组合利用CVE-2019-18935和CVE-2017-11317渗透美国公私营组织机构。

上个月,CISA还将影响Telerik UI的另外一个远程代码执行漏洞 (CVE-2017-11357) 增加到“已知利用漏洞 (KEV)”分类中,称该漏洞已遭活跃利用。威胁组织利用该漏洞上传并执行通过w3sp.exe进程伪装成 PNG 图片的恶意DLL文件。该DLL工件旨在收集系统信息、加载额外哭、枚举文件和流程,并将数据发回给远程服务器。发生在2021年8月的另外一些攻击可能由XE Group 发动,利用上述提到的躲避技术绕过检测。

这些DLL文件为未加密通信释放并执行反向(远程)shell,利用一个命令和控制域名释放额外的payload,包括用于拥有持久后门访问权限的 ASPX web shell。该web shell用于“枚举驱动;发送、接收和删除文件;并执行导入的命令”,并“包含用于轻松浏览文件、目录或系统上驱动的接口,可允许用户将文件上传或下载到任何目录”。

为阻止这类攻击,建议组织机构将Telerik UI ASP.NET AJAX的实例升级至最新版本,执行网络分段并为具有特权访问权限的账户执行防钓鱼的多因素认证机制。


Telerik UI漏洞已存在3年之久,被用于攻击美国联邦机构



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

美国政府:伊朗黑客利用Log4Shell 漏洞攻陷联邦机构

CISA要求联邦机构定期追踪网络资产和漏洞情况

CISA要求联邦机构修复被震网病毒攻击利用的漏洞

美国政府发布联邦机构软件安全法规要求,进一步提振IT供应链安全



原文链接

https://thehackernews.com/2023/03/multiple-hacker-groups-exploit-3-year.html


题图:Pexels License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




Telerik UI漏洞已存在3年之久,被用于攻击美国联邦机构
Telerik UI漏洞已存在3年之久,被用于攻击美国联邦机构

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   Telerik UI漏洞已存在3年之久,被用于攻击美国联邦机构 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):Telerik UI漏洞已存在3年之久,被用于攻击美国联邦机构

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月16日20:41:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Telerik UI漏洞已存在3年之久,被用于攻击美国联邦机构https://cn-sec.com/archives/1609130.html

发表评论

匿名网友 填写信息