Telerik UI漏洞已存在3年之久，被用于攻击美国联邦机构

美国网络安全和基础设施局 (CISA)、联邦调查局 (FBI)和多州信息共享和分析中心 (MS-ISAC) 发布联合公告指出，“恶意人员可利用该漏洞，成功在联邦民事行政部门 (FCEB)的微软互联网信息服务 (IIS) web服务器上执行远程代码。”与该攻击相关联的妥协指标 (IoCs) 在2022年11月至2023年1月初之间发现。

该漏洞是CVE-2019-18935，CVSS评分为9.8，与影响ASP.NET AJAX版的Progress Telerik UI的.NET反序列化漏洞有关。如不修复该漏洞，则可导致远程代码执行后果。

值得注意的是，该漏洞是攻击者在2020年至2021年间最常被利用的漏洞之一。威胁组织 Praying Mantis （即TG2021）曾组合利用CVE-2019-18935和CVE-2017-11317渗透美国公私营组织机构。

上个月，CISA还将影响Telerik UI的另外一个远程代码执行漏洞 (CVE-2017-11357) 增加到“已知利用漏洞 (KEV)”分类中，称该漏洞已遭活跃利用。威胁组织利用该漏洞上传并执行通过w3sp.exe进程伪装成 PNG 图片的恶意DLL文件。该DLL工件旨在收集系统信息、加载额外哭、枚举文件和流程，并将数据发回给远程服务器。发生在2021年8月的另外一些攻击可能由XE Group 发动，利用上述提到的躲避技术绕过检测。

这些DLL文件为未加密通信释放并执行反向（远程）shell，利用一个命令和控制域名释放额外的payload，包括用于拥有持久后门访问权限的 ASPX web shell。该web shell用于“枚举驱动；发送、接收和删除文件；并执行导入的命令”，并“包含用于轻松浏览文件、目录或系统上驱动的接口，可允许用户将文件上传或下载到任何目录”。

为阻止这类攻击，建议组织机构将Telerik UI ASP.NET AJAX的实例升级至最新版本，执行网络分段并为具有特权访问权限的账户执行防钓鱼的多因素认证机制。