L’année dernière, le serveur Web Microsoft Internet Information Services (IIS) d’une agence fédérale américaine a été piraté en exploitant une vulnérabilité critique de désérialisation .NET dans le composant Progress Telerik UI pour ASP.NET AJAX.

Selon un avis conjoint publié aujourd’hui par la CISA, le FBI et le MS-ISAC, les attaquants ont eu accès au serveur entre novembre 2022 et début janvier 2023 sur la base d’indicateurs de compromission (IOC) trouvés sur la branche exécutive civile fédérale anonyme (FCEB ) réseau de l’agence.

Au moins deux pirates ont accédé au serveur non corrigé en exploitant ce bogue (CVE-2019-18935) pour obtenir l’exécution de code à distance.

Après avoir piraté le serveur de l’agence anonyme de la branche exécutive civile fédérale (FCEB), ils ont déployé des charges utiles malveillantes dans le dossier C:\Windows\Temp\ pour collecter et exfiltrer des informations vers des serveurs de commande et de contrôle contrôlés par l’attaquant.

Le logiciel malveillant installé sur le serveur IIS compromis pourrait déployer des charges utiles supplémentaires, échapper à la détection en supprimant ses traces sur le système et ouvrir des shells inversés pour maintenir la persistance.

Il peut également être utilisé pour déposer un shell Web ASPX qui fournit une interface pour parcourir le système local, télécharger et télécharger des fichiers et exécuter des commandes à distance.

Cependant, comme détaillé dans l’avis, « aucun webshell n’a été observé sur le système cible, probablement en raison du compte de service abusé ayant des autorisations d’écriture restrictives ».

Plus d’informations sur les logiciels malveillants installés sur les serveurs Microsoft IIS piratés peuvent être trouvées dans ce rapport d’analyse des logiciels malveillants également publié aujourd’hui par CISA.

La vulnérabilité CVE-2019-18935 Telerik UI a également été incluse dans les 25 principaux bogues de sécurité de la NSA abusés par les pirates chinois et dans la liste du FBI des principales vulnérabilités ciblées.

Le serveur Microsoft IIS reste exposé aux attaques
CISA a ajouté la vulnérabilité de sécurité CVE-2019-18935 Progress Telerik UI à son catalogue de vulnérabilités exploitées connues (KEV) en novembre 2021.

Selon la directive opérationnelle contraignante (BOD 22-01) publiée en novembre 2021, qui oblige les agences fédérales de la liste KEV de la CISA à appliquer les actions recommandées, elle aurait dû être corrigée jusqu’au 3 mai 2022.

Cependant, sur la base des IOC liés à cette violation, l’agence fédérale américaine n’a pas réussi à sécuriser son serveur Microsoft IIS jusqu’à ce que la date d’échéance soit atteinte.

La CISA, le FBI et le MS-ISAC conseillent d’appliquer plusieurs mesures d’atténuation pour se protéger contre d’autres attaques ciblant cette vulnérabilité, avec certains des points saillants, notamment :

  • Mettez à niveau toutes les instances de Telerik UI ASP.NET AJAX vers la dernière version après les tests appropriés.
  • Surveillez et analysez les journaux d’activité générés à partir de Microsoft IIS et de PowerShell distant.
  • Limitez les comptes de service aux autorisations minimales nécessaires pour exécuter les services.
  • Donnez la priorité à la correction des vulnérabilités sur les systèmes connectés à Internet.
  • Implémentez une solution de gestion des correctifs pour assurer la conformité avec les derniers correctifs de sécurité.
  • Assurez-vous que les scanners de vulnérabilité sont configurés pour analyser une gamme complète d’appareils et d’emplacements.
  • Implémentez la segmentation du réseau pour séparer les segments du réseau en fonction du rôle et de la fonctionnalité.

« En plus d’appliquer des mesures d’atténuation, CISA, FBI et MS-ISAC recommandent d’exercer, de tester et de valider le programme de sécurité de votre organisation par rapport aux comportements de menace mappés au cadre MITRE ATT&CK for Enterprise dans cet avis », ont également recommandé les trois organisations.

« CISA, FBI et MS-ISAC recommandent de tester continuellement votre programme de sécurité, à grande échelle, dans un environnement de production pour garantir des performances optimales par rapport aux techniques MITRE ATT&CK identifiées dans cet avis. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *