根据美国网络安全和基础设施安全局CISA的报告,多个网络威胁行为者在大约三个月的时间里,利用了一个早在2019年被文档记录的漏洞,成功获得了对某个联邦机构网络服务器的远程代码执行RCE权限。 在CISA于3月15日发布的网络安全建议中,透露了威胁行为者所利用的漏洞Progress Telerik的漏洞CVE201918935,从而成功侵入了这家联邦执行部门的Microsoft Internet Information ServicesIIS网络服务器。 虽然该建议未明确指出受影响的具体机构,但表示攻击活动始于11月,并持续到次年1月初。 该漏洞的严重程度评分为98分,首次在美国国家标准与技术研究院NIST的国家漏洞数据库中发布于2019年12月,3月15日进行了更新。CISA在另一个与告警代码AA23074A相关联的建议中,详细列出了妥协指标IOCs、缓解措施及其他信息。 该APT利用CVE201918935漏洞上传恶意DLL文件,以加载额外的库、枚举系统、进程和文件目录,并进行文件写入。对APT的其他样本分析显示,它们能够删除DLL文件,从而隐藏额外的恶意活动,并与命令控制服务器进行通信。 如需详细信息,请参考CISA官方网站联邦机构网络安全漏洞被利用
关键要点
多个网络威胁行为者利用了一个首见于2019年的漏洞,实现远程代码执行RCE,攻击了美国某联邦机构的网络服务器。针对该漏洞CVE201918935的攻击从11月开始,持续了大约三个月时间。美国网络安全和基础设施安全局CISA在2023年3月15日发布了相关安全建议,指出这些行为者包括一个未命名的高级持续威胁APT组织,以及一个名为XE Group的越南网络犯罪团伙。
重要发现
CVE201918935可能与其他已知的Progress Telerik漏洞联合使用,进一步攻击该机构。 分析人士未发现特权提升或横向移动的证据,但杀毒软件日志显示,某些DLL文件早在2021年8月就被创建并检测到。附录
专有名词描述CVE201918935允许运行远程代码的安全漏洞APT高级持续威胁Advanced Persistent ThreatCISA美国网络安全和基础设施安全局
扫一扫微信交流