imágenes falsas
Múltiples actores de amenazas, uno trabajando en nombre de un estado-nación, obtuvieron acceso a la red de una agencia federal de EE. UU. al explotar una vulnerabilidad de cuatro años que permaneció sin parchear, advirtió el gobierno de EE. UU.
Las actividades de explotación de un grupo probablemente comenzaron en agosto de 2021 y en agosto pasado por el otro, según un consultivo publicado conjuntamente por la Agencia de Seguridad de Infraestructura y Ciberseguridad, el FBI y el Centro de Análisis e Intercambio de Información Multiestatal. Desde noviembre pasado hasta principios de enero, el servidor mostró signos de compromiso.
Vulnerabilidad no detectada durante 4 años
Ambos grupos explotaron una vulnerabilidad de ejecución de código rastreada como CVE-2019-18935 en una herramienta de desarrollo conocida como la interfaz de usuario (UI) de Telerik para ASP.NET AJAX, que estaba ubicada en el servidor web de Microsoft Internet Information Services (IIS) de la agencia. El aviso no identificó a la agencia más que para decir que era un Agencia Federal del Poder Ejecutivo Civil
La interfaz de usuario de Telerik para ASP.NET AJAX la vende una empresa llamada Progress, que tiene su sede en Burlington, Massachusetts, y Rotterdam en los Países Bajos. La herramienta incluye más de 100 componentes de interfaz de usuario que los desarrolladores pueden usar para reducir el tiempo que lleva crear aplicaciones web personalizadas. A fines de 2019, Progreso liberado versión 2020.1.114, que parchó CVE-2019-18935, una vulnerabilidad de deserialización insegura que hizo posible ejecutar código de forma remota en servidores vulnerables. La vulnerabilidad tenía una calificación de gravedad de 9,8 de 10 posibles. En 2020, la NSA advirtió que la vulnerabilidad era siendo explotado
“Este exploit, que da como resultado un acceso interactivo con el servidor web, permitió a los actores de amenazas ejecutar con éxito código remoto en el servidor web vulnerable”, explicó el aviso del jueves. “Aunque el escáner de vulnerabilidades de la agencia tenía el complemento apropiado para CVE-2019-18935, no pudo detectar la vulnerabilidad debido a que el software Telerik UI se instaló en una ruta de archivo que normalmente no escanea. Este puede ser el caso de muchas instalaciones de software, ya que las rutas de los archivos varían ampliamente según la organización y el método de instalación”.
Más vulnerabilidades sin parchear
Para explotar con éxito CVE-2019-18935, los piratas informáticos primero deben tener conocimientos de las claves de cifrado utilizadas con un componente conocido como Telerik RadAsyncUpload. Los investigadores federales sospechan que los atacantes explotaron uno de dos vulnerabilidades descubierto en 2017 que también permaneció sin parchear en el servidor de la agencia.
Los ataques de ambos grupos utilizaron una técnica conocida como carga lateral de DLL, que consiste en reemplazar los archivos legítimos de la biblioteca de enlaces dinámicos en Microsoft Windows por archivos maliciosos. Algunos de los archivos DLL que subió el grupo estaban disfrazados de imágenes PNG. Luego, los archivos maliciosos se ejecutaron mediante un proceso legítimo para servidores IIS llamado w3wp.exe. Una revisión de los registros de antivirus identificó que algunos de los archivos DLL cargados estaban presentes en el sistema desde agosto de 2021.
El aviso decía poco sobre el grupo de amenazas patrocinado por el estado-nación, aparte de identificar las direcciones IP que usaba para alojar servidores de comando y control. El grupo, denominado TA1 en el aviso del jueves, comenzó a usar CVE-2019-18935 en agosto pasado para enumerar sistemas dentro de la red de la agencia. Los investigadores identificaron nueve archivos DLL utilizados para explorar el servidor y evadir las defensas de seguridad. Los archivos comunicados con un servidor de control con una dirección IP de 137.184.130[.]162 o 45.77.212[.]12. El tráfico a estas direcciones IP utilizó el Protocolo de control de transmisión (TCP) sin cifrar a través del puerto 443. El malware del actor de amenazas pudo cargar bibliotecas adicionales y eliminar archivos DLL para ocultar la actividad maliciosa en la red.
El aviso se refirió al otro grupo como TA2 y lo identificó como XE Group, que los investigadores de la firma de seguridad Volexity ha dicho es probable que tenga su sede en Vietnam. Tanto Volexity como la empresa de seguridad compañera Malwarebytes han dicho que el grupo motivado financieramente se dedica al robo de tarjetas de pago.
“Al igual que TA1, TA2 explotó CVE-2019-18935 y pudo cargar al menos tres archivos DLL únicos en el directorio C:\Windows\Temp\ que TA2 ejecutó a través del proceso w3wp.exe”, decía el aviso. “Estos archivos DLL sueltan y ejecutan utilidades de shell inversas (remotas) para la comunicación sin cifrar con direcciones IP C2 asociadas con los dominios maliciosos”.
La brecha es el resultado de que alguien en la agencia anónima no instaló un parche que había estado disponible durante años. Como se señaló anteriormente, las herramientas que escanean los sistemas en busca de vulnerabilidades a menudo limitan sus búsquedas a un determinado conjunto de rutas de archivos predefinidas. Si esto puede suceder dentro de una agencia federal, es probable que pueda suceder dentro de otras organizaciones.
Cualquiera que use la interfaz de usuario de Telerik para ASP.NET AJAX debe leer detenidamente el aviso del jueves, así como el Progreso publicado en 2019 para asegurarse de que no estén expuestos.