Բազմաթիվ հարձակվողներ, այդ թվում նաև ազգային-պետական խմբեր, շահագործում են Progress Telerik-ի անվտանգության երեք տարվա վաղեմության խոցելիությունը՝ ԱՄՆ-ում դաշնային կազմակերպություններ ներխուժելու համար:
Տվյալ բացահայտումը բխում է Կիբերանվտանգության և Ենթակառուցվածքների Անվտանգության Գործակալության (CISA), Հետաքննությունների Դաշնային Բյուրոյի (FBI), Նահանգների Տեղեկատվության Փոխանակման և Վերլուծությունների Կենտրոնի (MS-ISAC) կողմից տարածած համատեղ հաղորդագրությունից։
Անցյալ ամիս CISA-ն շահագործվող խոցելիությունների (KEV) կատալոգում ավելացրել է ևս մեկ՝ CVE-2017-11357 remote code-ի կատարման սխալ, որն ազդում է Telerik UI-ի վրա:
Հարձակման հեղինակները նշում են, որ օգտագործել են տվյալ խոցելիությունը՝ վերաբեռնելու և գործարկելու վնասակար հղման գրադարանի (DLL) ֆայլերը, որոնք w3wp.exe գործընթացի միջոցով քողարկված են եղել որպես PNG նկարներ:
DLL-ի կցորդները նախագծված են` համակարգային տեղեկատվությունը հավաքելու, լրացուցիչ գրադարանները բեռնելու, ֆայլերն ու գործընթացները թվարկելու և տվյալները remote սերվեր ուղարկելու համար:
Հարձակումների մեկ այլ տեսակ, որը նկատվել էր դեռևս 2021-ի օգոստոսին և, հավանաբար, իրականացվել է կիբերհանցագործ հաքերի կողմից, կոչվում էր XE Group: Այն կիրռում էր վերոհիշյալ տեխնիկայի օգտագործումը՝ հայտնաբերումը շրջանցելու համար:
Web shell-ը հագեցած է «դրայվները ճանաչելու, ֆայլեր ուղարկելու, դրանք ստանալու և հեռացնելու, ինչպես նաև մուտքային հրամաններ կատարելու համար»:
Նման հարձակումներին պատրաստ լինելու և դիմակայելու համար կազմակերպություններին խորհուրդ է տրվում մշտապես թարմացնել Telerik UI ASP.NET AJAX-ի գործող տարբերակը նորով: Ինչպես նաև իրականացնել ցանցի սեգմենտավորում՝ համատեղ կիրառելով ֆիշինգի նկատմամբ կայուն նույնականացում արտոնյալ մուտք ունեցող օգտահաշիվների համար:
Աղբյուր՝ https://thehackernews.com/
