گتی ایماژ
دولت ایالات متحده هشدار داد که چندین عامل تهدید – یکی از آنها به نمایندگی از یک دولت-ملت کار می کند – با سوء استفاده از یک آسیب پذیری چهار ساله که اصلاح نشده باقی مانده بود، به شبکه یک آژانس فدرال ایالات متحده دسترسی پیدا کردند.
بر اساس مشاوره ای که به طور مشترک توسط آژانس امنیت سایبری و امنیت زیرساخت، FBI و مرکز به اشتراک گذاری و تجزیه و تحلیل اطلاعات چند ایالتی منتشر شده است، فعالیت های بهره برداری توسط یک گروه احتمالاً در آگوست 2021 و در آگوست گذشته توسط گروه دیگر آغاز شده است. از نوامبر گذشته تا اوایل ژانویه، سرور نشانه هایی از سازش را نشان داد.
آسیب پذیری به مدت 4 سال شناسایی نشده است
هر دو گروه از یک آسیبپذیری اجرای کد که بهعنوان CVE-2019-18935 در یک ابزار توسعهدهنده به نام رابط کاربری Telerik (UI) برای ASP.NET AJAX ردیابی شده است، که در سرور وب سرویسهای اطلاعات اینترنتی مایکروسافت (IIS) آژانس قرار داشت، سوء استفاده کردند. این مشاوره آژانس را شناسایی نکرد جز اینکه میگوید این آژانس یک شعبه اجرایی غیرنظامی فدرال تحت اختیار CISA است.
Telerik UI برای ASP.NET AJAX توسط شرکتی به نام Progress فروخته می شود که دفتر مرکزی آن در برلینگتون، ماساچوست و روتردام در هلند قرار دارد. این ابزار بیش از 100 مؤلفه رابط کاربری را در خود جای داده است که توسعه دهندگان می توانند از آنها برای کاهش زمان لازم برای ایجاد برنامه های کاربردی وب سفارشی استفاده کنند. در اواخر سال 2019، Progress نسخه 2020.1.114 را منتشر کرد که CVE-2019-18935 را وصله کرد، یک آسیبپذیری ناامن سریالزدایی که امکان اجرای کد از راه دور را بر روی سرورهای آسیبپذیر فراهم میکرد. این آسیبپذیری دارای امتیاز 9.8 از 10 ممکن است. در سال 2020، NSA هشدار داد که این آسیبپذیری توسط بازیگران تحت حمایت دولت چین مورد سوء استفاده قرار میگیرد.
مشاوره روز پنجشنبه توضیح داد: “این اکسپلویت، که منجر به دسترسی تعاملی با وب سرور می شود، عاملان تهدید را قادر می سازد تا کد راه دور را با موفقیت روی سرور وب آسیب پذیر اجرا کنند.” اگرچه اسکنر آسیبپذیری آژانس دارای افزونه مناسب برای CVE-2019-18935 بود، اما به دلیل نصب نرمافزار Telerik UI در مسیر فایلی که معمولاً اسکن نمیشود، آسیبپذیری را شناسایی نکرد. این ممکن است برای بسیاری از نصبهای نرمافزاری صدق کند، زیرا مسیرهای فایل بسته به سازمان و روش نصب بسیار متفاوت است.
تبلیغات
آسیب پذیری های اصلاح نشده بیشتر
برای بهره برداری موفقیت آمیز از CVE-2019-18935، هکرها ابتدا باید از کلیدهای رمزگذاری مورد استفاده در مؤلفه ای به نام Telerik RadAsyncUpload آگاهی داشته باشند. بازرسان فدرال گمان میکنند که عاملان تهدید از یکی از دو آسیبپذیری کشفشده در سال ۲۰۱۷ استفاده کردهاند که در سرور آژانس نیز اصلاح نشده باقی مانده است.
حملات هر دو گروه از تکنیکی به نام بارگیری جانبی DLL استفاده کردند که شامل جایگزینی فایلهای کتابخانه پیوند پویا قانونی در مایکروسافت ویندوز با فایلهای مخرب است. برخی از فایلهای DLL که گروه آپلود کرد، بهعنوان تصاویر PNG مبدل شدند. سپس فایل های مخرب با استفاده از یک فرآیند قانونی برای سرورهای IIS به نام w3wp.exe اجرا شدند. بررسی لاگ های آنتی ویروس مشخص کرد که برخی از فایل های DLL آپلود شده در اوایل آگوست 2021 در سیستم وجود داشتند.
این مشاوره در مورد گروه تهدید تحت حمایت دولت ملت، به جز شناسایی آدرسهای IP که برای میزبانی سرورهای فرمان و کنترل استفاده میکردند، چیز کمی بیان کرد. این گروه که در مشاوره روز پنجشنبه به آن TA1 گفته می شود، در اوت گذشته استفاده از CVE-2019-18935 را برای شمارش سیستم های داخل شبکه آژانس آغاز کرد. محققان 9 فایل DLL را شناسایی کردند که برای کاوش سرور و فرار از دفاع امنیتی استفاده می شد. فایل ها با یک سرور کنترل با آدرس IP 137.184.130 ارتباط برقرار کردند[.]162 یا 45.77.212[.]12. ترافیک این آدرسهای IP از پروتکل کنترل انتقال رمزگذاری نشده (TCP) روی پورت 443 استفاده میکرد. بدافزار عامل تهدید قادر بود کتابخانههای اضافی را بارگیری کند و فایلهای DLL را برای پنهان کردن فعالیتهای مخرب در شبکه حذف کند.
این مشاوره به گروه دیگر به عنوان TA2 اشاره کرد و آن را به عنوان گروه XE معرفی کرد، که محققان شرکت امنیتی Volexity گفته اند که احتمالاً در ویتنام مستقر است. هم Volexity و هم شرکت امنیتی Malwarebytes گفته اند که این گروه با انگیزه مالی درگیر اسکیمینگ کارت پرداخت است.
در این توصیه نامه آمده است: «مانند TA1، TA2 از CVE-2019-18935 سوء استفاده کرد و توانست حداقل سه فایل DLL منحصر به فرد را در دایرکتوری C:WindowsTemp که TA2 از طریق فرآیند w3wp.exe اجرا می کرد، آپلود کند. این فایلهای DLL، ابزارهای پوسته معکوس (از راه دور) را برای ارتباط رمزگذاری نشده با آدرسهای IP C2 مرتبط با دامنههای مخرب، حذف و اجرا میکنند.
این نقض نتیجه عدم موفقیت شخصی در آژانس ناشناس در نصب وصله ای است که سال ها در دسترس بوده است. همانطور که قبلا ذکر شد، ابزارهایی که سیستم ها را برای آسیب پذیری ها اسکن می کنند، اغلب جستجوهای خود را به مجموعه خاصی از مسیرهای فایل از پیش تعریف شده محدود می کنند. اگر این می تواند در داخل یک آژانس فدرال اتفاق بیفتد، احتمالاً می تواند در داخل سازمان های دیگر نیز رخ دهد.
هرکسی که از رابط کاربری Telerik برای ASP.NET AJAX استفاده میکند، باید توصیههای پنجشنبه و همچنین Progress منتشر شده در سال 2019 را به دقت مطالعه کند تا مطمئن شود که در معرض خطر قرار نمیگیرد.