.
Vários criminosos, incluindo pelo menos potencialmente um grupo de estado-nação, invadiram o servidor da Web dos Serviços de Informações da Internet da Microsoft de uma agência do governo federal dos EUA, explorando um bug crítico do Telerik de três anos para obter a execução remota de código.
A confusão aconteceu entre novembro de 2022 e o início de janeiro, de acordo com um alerta conjunto do FBI, da CISA e do Centro de Análise e Compartilhamento de Informações Multiestatais dos Estados Unidos (MS-ISAC) esta semana.
Os federais tomaram conhecimento da intrusão depois de detectar sinais de alerta em uma agência do poder executivo civil federal, disse o comunicado. Não nomeou a agência federal.
“Os analistas determinaram que vários atores de ameaças cibernéticas, incluindo um ator APT, foram capazes de explorar uma vulnerabilidade de desserialização .NET (CVE-2019-18935) na interface de usuário (UI) do Progress Telerik para ASP.NET AJAX, localizada no servidor da Web do Microsoft Internet Information Services (IIS) da agência”, o comunicado conjunto disse.
A serialização é o processo de transformar uma estrutura de dados na memória em uma série de bytes para armazenamento ou transmissão. Desserialização reverte isso e transforma um fluxo de dados de volta em um objeto na memória.
As vulnerabilidades de desserialização afetam várias linguagens de programação e aplicativos e, como Mandiant explicasão essencialmente o “resultado de aplicativos que confiam demais em dados que um usuário (ou invasor) pode adulterar”.
este particular Bug do telerik, que recebeu uma pontuação de gravidade CVSS de 9,8 em 10, foi descoberto pela primeira vez em 2019 e é especialmente popular entre os criminosos apoiados por Pequim. Em 2020 fez a lista dos 25 principais vulnerabilidades de segurança de computador Hackers do governo chinês estão usando para invadir redes e roubar dados.
Portanto, embora os federais não identifiquem o jogador de ameaça persistente avançada (APT) em seu alerta, estaríamos dispostos a apostar que é um dos esquadrões cibercriminosos do presidente Xi Jinping. E está claro que alguém do governo federal não recebeu o memorando sobre a aplicação de correções de segurança em tempo hábil.
De acordo com o comunicado, apenas as compilações Telerik UI para ASP.NET AJAX antes de R1 2020 (2020.1.114) são vulneráveis. E em separado análise de malwarea CISA identificou arquivos maliciosos e outros indicadores de comprometimento.
Além disso, a agência de segurança cibernética sugere que as organizações fiquem por dentro dos patches para garantir que seus softwares estejam atualizados e limitem as permissões ao mínimo necessário para executar os serviços.
O alerta de segurança mais recente segue uma série de invasões de alto perfil do governo dos EUA e roubo de dados. Na semana passada, o FBI disse que estava investigando uma violação de servidores administrados pelo DC Health Care Link durante o qual bandidos roubaram membros do Congresso e informações pessoais de funcionários.
DC Health Link é o mercado on-line para o Affordable Care Act que administra os planos de saúde para membros do Congresso, bem como para suas famílias e funcionários. Alguns desses dados roubados agora estão sendo oferecido para venda em fóruns da dark web.
E no final de fevereiro, o US Marshals Service admitiu que uma violação “grande” de suas defesas de segurança da informação levou a um infecção por ransomware e exfiltração de “informações confidenciais de aplicação da lei”. ®
.
