CISA

昨年、米国連邦政府機関の Microsoft インターネット インフォメーション サービス (IIS) Web サーバーが、Progress Telerik UI for ASP.NET AJAX コンポーネントの重大な .NET デシリアライゼーションの脆弱性を悪用してハッキングされました。

CISA、FBI、および MS-ISAC によって本日発行された共同勧告によると、攻撃者は、無名の連邦文民行政機関 (FCEB ) 代理店のネットワーク。

少なくとも 2 人の攻撃者が、このバグ ( CVE-2019-18935 ) を悪用して、パッチが適用されていないサーバーにアクセスし、リモートでコードを実行しました。

彼らは、無名の連邦文民行政機関 (FCEB) のサーバーにハッキングした後、C:WindowsTemp フォルダーに悪意のあるペイロードを展開して、情報を収集し、攻撃者が制御するコマンド アンド コントロール サーバーに送り出しました。

侵害された IIS サーバーにインストールされたマルウェアは、追加のペイロードを展開し、システム上のトレースを削除して検出を回避し、リバース シェルを開いて持続性を維持する可能性があります。

また、ローカル システムの参照、ファイルのダウンロードとアップロード、およびリモート コマンドの実行のためのインターフェイスを提供する ASPX Web シェルをドロップするためにも使用される可能性があります。

ただし、アドバイザリで詳しく説明されているように、「おそらく制限された書き込み権限を持つ悪用されたサービス アカウントが原因で、ターゲット システムに Webshell がドロップされることは確認されませんでした」。

ハッキングされた Microsoft IIS サーバーにインストールされたマルウェアの詳細については、同じく CISA が本日公開したこのマルウェア分析レポートを参照してください。

CVE-2019-18935 Telerik UI の脆弱性は、NSA の中国のハッカーによって悪用された上位 25 のセキュリティ バグと、 FBI の上位の標的とされた脆弱性のリストにも含まれていました。

Microsoft IIS サーバーが攻撃にさらされたままになっている

CISA は、2021 年 11 月に CVE-2019-18935 Progress Telerik UI のセキュリティ脆弱性を既知の悪用された脆弱性 (KEV) カタログに追加しました。

2021 年 11 月に発行された拘束力のある運用指令 (BOD 22-01) によると、連邦機関は CISA の KEV リストに推奨されるアクションを適用する必要があり、2022 年 5 月 3 日までにパッチを適用する必要がありました。

しかし、この違反に関連する IOC に基づくと、米国連邦政府機関は期限が来るまで Microsoft IIS サーバーを保護できませんでした。

CISA、FBI、および MS-ISAC は、この脆弱性を標的とする他の攻撃から保護するために複数の緩和策を適用することを推奨しています。

  • 適切なテストの後、Telerik UI ASP.NET AJAX のすべてのインスタンスを最新バージョンにアップグレードします。
  • Microsoft IIS およびリモート PowerShell から生成されたアクティビティ ログを監視および分析します。
  • サービス アカウントを、サービスの実行に必要な最小限のアクセス許可に制限します。
  • インターネットに接続されたシステムの脆弱性の修復を優先します。
  • パッチ管理ソリューションを実装して、最新のセキュリティ パッチに確実に準拠できるようにします。
  • 脆弱性スキャナーがデバイスと場所の包括的な範囲をスキャンするように構成されていることを確認します。
  • ネットワーク セグメンテーションを実装して、役割と機能に基づいてネットワーク セグメントを分離します。

「緩和策の適用に加えて、CISA、FBI、および MS-ISAC は、このアドバイザリで MITRE ATT&CK for Enterprise フレームワークにマッピングされた脅威の動作に対して組織のセキュリティ プログラムを実行、テスト、および検証することを推奨しています」と3 つの組織は推奨しています

「CISA、FBI、および MS-ISAC は、このアドバイザリで特定された MITRE ATT&CK 手法に対して最適なパフォーマンスを確保するために、本番環境でセキュリティ プログラムを大規模に継続的にテストすることを推奨しています。」