Önem derecesi 9,8 olan bir kod yürütme hatası, ajansın ağı üzerinde denetim sağladı.
ABD hükümeti, biri bir ulus-devlet adına çalışan birden fazla tehdit aktörünün, yama yapılmadan kalan dört yıllık bir güvenlik açığından yararlanarak bir ABD federal kurumunun ağına erişim elde ettiği konusunda uyardı.
Siber Güvenlik ve Altyapı Güvenliği Ajansı, FBI ve Çok Devletli Bilgi Paylaşım ve Analiz Merkezi tarafından ortaklaşa yayınlanan bir danışma belgesine göre, bir grubun istismar faaliyetleri büyük olasılıkla Ağustos 2021'de ve diğeri geçen Ağustos ayında başladı. Geçen Kasım ayından Ocak ayının başlarına kadar, sunucu uzlaşma belirtileri gösterdi.
Güvenlik açığı 4 yıldır tespit edilemedi
Her iki grup da, ajansın Microsoft Internet Information Services (IIS) web sunucusunda bulunan ASP.NET AJAX için Telerik kullanıcı arabirimi (UI) olarak bilinen bir geliştirici aracında CVE-2019-18935 olarak izlenen bir kod yürütme güvenlik açığından yararlandı. Danışma belgesi, ajansın CISA yetkisi altındaki bir Federal Sivil Yürütme Şube Ajansı olduğunu söylemek dışında kimliğini belirtmedi.
ASP.NET AJAX için Telerik UI, merkezi Burlington, Massachusetts ve Hollanda'da Rotterdam'da bulunan Progress adlı bir şirket tarafından satılmaktadır. Araç, geliştiricilerin özel Web uygulamaları oluşturmak için gereken süreyi azaltmak için kullanabilecekleri 100'den fazla UI bileşenini bir araya getirir. 2019'un sonlarında Progress, güvenlik açığı bulunan sunucularda uzaktan kod yürütmeyi mümkün kılan güvenli olmayan bir seri hale getirme güvenlik açığı olan CVE-2019-18935'i yamalayan 2020.1.114 sürümünü yayınladı. Güvenlik açığı, olası 10 üzerinden 9,8 önem derecesine sahipti. 2020'de NSA, güvenlik açığının Çin devleti destekli aktörler tarafından istismar edildiği konusunda uyardı.
Perşembe günkü danışma belgesi, "Web sunucusuyla etkileşimli erişimle sonuçlanan bu istismar, tehdit aktörlerinin savunmasız web sunucusunda başarılı bir şekilde uzaktan kod yürütmesini sağladı." "Ajansın güvenlik açığı tarayıcısı CVE-2019-18935 için uygun eklentiye sahip olsa da Telerik UI yazılımının tipik olarak taramadığı bir dosya yoluna yüklenmesi nedeniyle güvenlik açığını tespit edemedi. Dosya yolları organizasyona ve kurulum yöntemine bağlı olarak büyük ölçüde değiştiğinden, bu durum birçok yazılım kurulumu için geçerli olabilir.”
Daha fazla yama uygulanmamış güvenlik açığı
Bilgisayar korsanlarının CVE-2019-18935'ten başarılı bir şekilde yararlanabilmesi için öncelikle Telerik RadAsyncUpload olarak bilinen bir bileşenle kullanılan şifreleme anahtarları hakkında bilgi sahibi olması gerekir. Federal müfettişler, tehdit aktörlerinin 2017'de keşfedilen ve yine ajans sunucusunda yama yapılmadan kalan iki güvenlik açığından birini kullandığından şüpheleniyor.
Her iki gruptan gelen saldırılar, Microsoft Windows'daki yasal dinamik bağlantı kitaplığı dosyalarını kötü amaçlı olanlarla değiştirmeyi içeren, DLL tarafı yükleme olarak bilinen bir teknik kullandı. Grubun yüklediği bazı DLL dosyaları PNG görüntüleri olarak gizlenmişti. Kötü amaçlı dosyalar daha sonra w3wp.exe adlı IIS sunucuları için meşru bir işlem kullanılarak yürütüldü. Virüsten koruma günlüklerinin incelenmesi, yüklenen bazı DLL dosyalarının Ağustos 2021 gibi erken bir tarihte sistemde bulunduğunu tespit etti.
Danışma belgesi, ulus-devlet destekli tehdit grubu hakkında, komuta ve kontrol sunucularını barındırmak için kullandığı IP adreslerini belirlemek dışında çok az şey söyledi. Perşembe günkü danışma belgesinde TA1 olarak anılan grup, ajans ağındaki sistemleri sıralamak için geçen Ağustos ayında CVE-2019-18935'i kullanmaya başladı. Müfettişler, sunucuyu keşfetmek ve güvenlik savunmalarından kaçmak için kullanılan dokuz DLL dosyası belirlediler. Dosyalar, 137.184.130[.]162 veya 45.77.212[.]12 IP adresine sahip bir kontrol sunucusuyla iletişim kurdu. Bu IP adreslerine giden trafik, 443 numaralı bağlantı noktası üzerinden şifrelenmemiş İletim Kontrol Protokolü (TCP) kullandı. Tehdit aktörünün kötü amaçlı yazılımı, ağdaki kötü amaçlı etkinliği gizlemek için ek kitaplıklar yükleyebildi ve DLL dosyalarını sildi.
Danışma belgesi, diğer gruptan TA2 olarak bahsetti ve onu, güvenlik firması Volexity'den araştırmacıların muhtemelen Vietnam merkezli olduğunu söylediği XE Group olarak tanımladı. Hem Volexity hem de diğer güvenlik firması Malwarebytes, finansal olarak motive olmuş grubun ödeme kartı kaymağı yaptığını söyledi.
Danışma belgesi, "TA1'e benzer şekilde, TA2, CVE-2019-18935'ten yararlandı ve TA2'nin w3wp.exe işlemi aracılığıyla yürüttüğü C:\Windows\Temp\ dizinine en az üç benzersiz DLL dosyası yükleyebildi." "Bu DLL dosyaları, kötü amaçlı etki alanlarıyla ilişkili C2 IP adresleriyle şifrelenmemiş iletişim için ters (uzak) kabuk yardımcı programlarını bırakır ve yürütür."
İhlal, adı açıklanmayan kurumdaki birinin yıllardır mevcut olan bir yamayı yükleyememesinin sonucudur. Daha önce belirtildiği gibi, sistemleri güvenlik açıklarına karşı tarayan araçlar, aramalarını genellikle önceden tanımlanmış belirli bir dizi dosya yolu ile sınırlar. Bu bir federal kurum içinde olabiliyorsa, muhtemelen diğer organizasyonlarda da olabilir.
ASP.NET AJAX için Telerik Kullanıcı Arabirimini kullanan herkes, ifşa edilmediğinden emin olmak için Perşembe günkü danışma belgesini ve 2019'da yayınlanan İlerleme'yi dikkatlice okumalıdır.
Tags:
Bilgi Teknolojisi