.
Getty Images
Vários atores de ameaças – um trabalhando em nome de um estado-nação – obtiveram acesso à rede de uma agência federal dos EUA explorando uma vulnerabilidade de quatro anos que permaneceu sem correção, alertou o governo dos EUA.
As atividades de exploração de um grupo provavelmente começaram em agosto de 2021 e em agosto passado do outro, de acordo com um comunicado publicado em conjunto pela Agência de Segurança Cibernética e Infraestrutura, o FBI e o Centro de Análise e Compartilhamento de Informações Multiestatais. De novembro passado ao início de janeiro, o servidor exibiu sinais de comprometimento.
Vulnerabilidade não detectada por 4 anos
Ambos os grupos exploraram uma vulnerabilidade de execução de código rastreada como CVE-2019-18935 em uma ferramenta de desenvolvedor conhecida como interface de usuário Telerik (UI) para ASP.NET AJAX, localizada no servidor da Web Microsoft Internet Information Services (IIS) da agência. A assessoria não identificou a agência, apenas disse que era uma Agência do Poder Executivo Federal Civil sob a autoridade da CISA.
A Telerik UI para ASP.NET AJAX é vendida por uma empresa chamada Progress, com sede em Burlington, Massachusetts, e Rotterdam, na Holanda. A ferramenta agrupa mais de 100 componentes de interface do usuário que os desenvolvedores podem usar para reduzir o tempo necessário para criar aplicativos da Web personalizados. No final de 2019, a Progress lançou a versão 2020.1.114, que corrigiu o CVE-2019-18935, uma vulnerabilidade de desserialização insegura que possibilitou a execução remota de código em servidores vulneráveis. A vulnerabilidade carregava uma classificação de gravidade de 9,8 em 10 possíveis. Em 2020, a NSA alertou que a vulnerabilidade estava sendo explorada por atores patrocinados pelo estado chinês.
“Essa exploração, que resulta em acesso interativo com o servidor da Web, permitiu que os agentes de ameaças executassem com êxito o código remoto no servidor da Web vulnerável”, explicou o comunicado de quinta-feira. “Embora o scanner de vulnerabilidade da agência tivesse o plug-in apropriado para CVE-2019-18935, ele não conseguiu detectar a vulnerabilidade devido ao software Telerik UI estar instalado em um caminho de arquivo que normalmente não verifica. Esse pode ser o caso de muitas instalações de software, pois os caminhos de arquivo variam muito, dependendo da organização e do método de instalação.”
Mais vulnerabilidades não corrigidas
Para explorar com sucesso o CVE-2019-18935, os hackers devem primeiro ter conhecimento das chaves de criptografia usadas com um componente conhecido como Telerik RadAsyncUpload. Investigadores federais suspeitam que os invasores exploraram uma das duas vulnerabilidades descobertas em 2017 que também permaneceram sem correção no servidor da agência.
Os ataques de ambos os grupos usaram uma técnica conhecida como carregamento lateral de DLL, que envolve a substituição de arquivos legítimos da biblioteca de vínculo dinâmico no Microsoft Windows por outros maliciosos. Alguns dos arquivos DLL que o grupo carregou estavam disfarçados de imagens PNG. Os arquivos maliciosos foram executados usando um processo legítimo para servidores IIS chamado w3wp.exe. Uma análise dos logs do antivírus identificou que alguns dos arquivos DLL carregados estavam presentes no sistema já em agosto de 2021.
O comunicado disse pouco sobre o grupo de ameaças patrocinado pelo estado-nação, além de identificar os endereços IP usados para hospedar servidores de comando e controle. O grupo, conhecido como TA1 no comunicado de quinta-feira, começou a usar o CVE-2019-18935 em agosto passado para enumerar sistemas dentro da rede da agência. Os investigadores identificaram nove arquivos DLL usados para explorar o servidor e burlar as defesas de segurança. Os arquivos se comunicaram com um servidor de controle com um endereço IP de 137.184.130[.]162 ou 45.77.212[.]12. O tráfego para esses endereços IP usava protocolo de controle de transmissão (TCP) não criptografado na porta 443. O malware do invasor conseguiu carregar bibliotecas adicionais e excluir arquivos DLL para ocultar atividades maliciosas na rede.
O comunicado se referiu ao outro grupo como TA2 e o identificou como XE Group, que pesquisadores da empresa de segurança Volexity disseram que provavelmente tem sede no Vietnã. Tanto a Volexity quanto a empresa de segurança Malwarebytes disseram que o grupo motivado financeiramente se envolve em clonagem de cartões de pagamento.
“Semelhante ao TA1, o TA2 explorou o CVE-2019-18935 e conseguiu carregar pelo menos três arquivos DLL exclusivos no diretório C:WindowsTemp que o TA2 executou por meio do processo w3wp.exe”, afirmou o comunicado. “Esses arquivos DLL eliminam e executam utilitários de shell reverso (remoto) para comunicação não criptografada com endereços IP C2 associados aos domínios maliciosos”.
A violação é o resultado de alguém da agência não identificada que não conseguiu instalar um patch que estava disponível há anos. Conforme observado anteriormente, as ferramentas que examinam os sistemas em busca de vulnerabilidades geralmente limitam suas pesquisas a um determinado conjunto de caminhos de arquivo predefinidos. Se isso pode acontecer dentro de uma agência federal, provavelmente também pode acontecer dentro de outras organizações.
Qualquer pessoa que use a interface do usuário do Telerik para ASP.NET AJAX deve ler atentamente o comunicado de quinta-feira, bem como o publicado pela Progress em 2019, para garantir que não sejam expostos.
.
