Tahun lalu, server web Microsoft Internet Information Services (IIS) agen federal AS diretas dengan mengeksploitasi kerentanan deserialisasi .NET yang kritis di Progress Telerik UI untuk komponen ASP.NET AJAX.
Menurut penasehat bersama yang dikeluarkan hari ini oleh CISA, FBI, dan MS-ISAC, penyerang memiliki akses ke server antara November 2022 dan awal Januari 2023 berdasarkan indikator kompromi (IOC) yang ditemukan di cabang eksekutif sipil federal (FCEB) yang tidak disebutkan namanya. ) jaringan agensi.
Setidaknya dua pelaku ancaman mengakses server yang belum ditambal dengan mengeksploitasi bug ini (CVE-2019-18935) untuk mendapatkan eksekusi kode jarak jauh.
Setelah meretas ke server badan eksekutif sipil federal (FCEB) yang tidak disebutkan namanya, mereka menyebarkan muatan berbahaya di folder C:\Windows\Temp\ untuk mengumpulkan dan mengekstraksi informasi ke server perintah dan kontrol yang dikendalikan penyerang.
Malware yang dipasang di server IIS yang disusupi dapat menyebarkan muatan tambahan, menghindari deteksi dengan menghapus jejaknya di sistem, dan membuka cangkang terbalik untuk mempertahankan persistensi.
Itu juga dapat digunakan untuk menjatuhkan shell web ASPX yang menyediakan antarmuka untuk menjelajahi sistem lokal, mengunduh dan mengunggah file, dan menjalankan perintah jarak jauh.
Namun, sebagaimana dirinci dalam penasehat, “tidak ada webshell yang diamati dijatuhkan pada sistem target, kemungkinan karena akun layanan yang disalahgunakan memiliki izin menulis yang terbatas.”
Informasi lebih lanjut tentang malware yang dipasang di server Microsoft IIS yang diretas dapat ditemukan di laporan analisis malware ini juga diterbitkan hari ini oleh CISA.
Kerentanan Telerik UI CVE-2019-18935 juga disertakan 25 bug keamanan teratas NSA disalahgunakan oleh hacker Cina dan daftar kerentanan target teratas FBI.
Server Microsoft IIS dibiarkan terkena serangan
CISA menambahkan kerentanan keamanan CVE-2019-18935 Progress Telerik UI ke Katalog Known Exploited Vulnerabilities (KEV) pada November 2021.
Menurut arahan operasional yang mengikat (BOD 22-01) yang dikeluarkan pada November 2021, yang mewajibkan lembaga federal ke daftar KEV CISA untuk menerapkan tindakan yang direkomendasikan, seharusnya sudah ditambal hingga 3 Mei 2022.
Namun, berdasarkan IOC yang terkait dengan pelanggaran ini, agen federal AS gagal mengamankan server Microsoft IIS hingga tanggal jatuh tempo tercapai.
CISA, FBI, dan MS-ISAC menyarankan untuk menerapkan beberapa tindakan mitigasi untuk melindungi dari serangan lain yang menargetkan kerentanan ini, dengan beberapa sorotan termasuk:
- Mutakhirkan semua instance Telerik UI ASP.NET AJAX ke versi terbaru setelah pengujian yang sesuai.
- Pantau dan analisis log aktivitas yang dihasilkan dari Microsoft IIS dan PowerShell jarak jauh.
- Batasi akun layanan hingga izin minimum yang diperlukan untuk menjalankan layanan.
- Prioritaskan perbaikan kerentanan pada sistem yang terhubung ke internet.
- Terapkan solusi manajemen tambalan untuk memastikan kepatuhan dengan tambalan keamanan terbaru.
- Pastikan pemindai kerentanan dikonfigurasi untuk memindai cakupan perangkat dan lokasi yang komprehensif.
- Menerapkan segmentasi jaringan untuk memisahkan segmen jaringan berdasarkan peran dan fungsionalitas.
“Selain menerapkan mitigasi, CISA, FBI, dan MS-ISAC merekomendasikan untuk melatih, menguji, dan memvalidasi program keamanan organisasi Anda terhadap perilaku ancaman yang dipetakan ke kerangka MITRE ATT&CK for Enterprise dalam penasehat ini,” tiga organisasi juga direkomendasikan.
“CISA, FBI, dan MS-ISAC merekomendasikan untuk terus menguji program keamanan Anda, dalam skala besar, di lingkungan produksi untuk memastikan kinerja optimal terhadap teknik MITRE ATT&CK yang diidentifikasi dalam penasehat ini.”
