Plusieurs acteurs de la menace, y compris un groupe d’États-nations, ont exploité une faille de sécurité critique vieille de trois ans dans Progress Telerik pour s’introduire dans une entité fédérale anonyme aux États-Unis
La divulgation provient d’un avis conjoint publié par la Cybersecurity and Infrastructure Security Agency (CISA), le Federal Bureau of Investigation (FBI) et le Multi-State Information Sharing and Analysis Center (MS-ISAC).
« L’exploitation de cette vulnérabilité a permis à des acteurs malveillants d’exécuter avec succès du code à distance sur le serveur Web Microsoft Internet Information Services (IIS) d’une agence de l’exécutif civil fédéral (FCEB) », ont déclaré les agences .
Les indicateurs de compromission (IoC) associés à l’effraction numérique ont été identifiés de novembre 2022 à début janvier 2023.
Suivi comme CVE-2019-18935 (score CVSS : 9,8), le problème concerne une vulnérabilité de désérialisation .NET affectant Progress Telerik UI pour ASP.NET AJAX qui, si elle n’est pas corrigée, pourrait entraîner l’exécution de code à distance .
Il convient de noter ici que CVE-2019-18935 a déjà trouvé une place parmi certaines des vulnérabilités les plus couramment exploitées par divers acteurs de la menace en 2020 et 2021.
CVE-2019-18935, en conjonction avec CVE-2017-11317 , a également été militarisé par un acteur menaçant suivi sous le nom de Praying Mantis (alias TG2021) pour infiltrer les réseaux d’organisations publiques et privées aux États-Unis.
Le mois dernier, CISA a également ajouté CVE-2017-11357 – un autre bogue d’exécution de code à distance affectant l’interface utilisateur de Telerik – au catalogue des vulnérabilités exploitées connues (KEV), citant des preuves d’exploitation active.
Lors de l’intrusion enregistrée contre l’agence FCEB en août 2022, les acteurs de la menace auraient exploité CVE-2019-18935 pour télécharger et exécuter des fichiers de bibliothèque de liens dynamiques (DLL) malveillants se faisant passer pour des images PNG via le processus w3wp.exe .
Les artefacts DLL sont conçus pour collecter des informations système, charger des bibliothèques supplémentaires, énumérer des fichiers et des processus et exfiltrer les données vers un serveur distant.
Une autre série d’attaques, observée dès août 2021 et probablement montée par un acteur cybercriminel surnommé XE Group , impliquait l’utilisation des techniques d’évasion susmentionnées pour contourner la détection.
Ces fichiers DLL ont supprimé et exécuté des utilitaires shell inversés (distants) pour les communications non chiffrées avec un domaine de commande et de contrôle afin de supprimer des charges utiles supplémentaires, y compris un shell Web ASPX pour un accès par porte dérobée persistant.
Le shell Web est équipé pour « énumérer les lecteurs ; envoyer, recevoir et supprimer des fichiers ; et exécuter des commandes entrantes » et « contient une interface permettant de parcourir facilement des fichiers, des répertoires ou des lecteurs sur le système, et permet à l’utilisateur de télécharger ou télécharger des fichiers dans n’importe quel répertoire. »
Pour contrer de telles attaques, il est recommandé aux organisations de mettre à niveau leurs instances de Telerik UI ASP.NET AJAX vers la dernière version, de mettre en œuvre la segmentation du réseau et d’appliquer une authentification multifacteur résistante au phishing pour les comptes disposant d’un accès privilégié.
