De multiples groupes de cybercriminels, dont un groupe de pirates soutenu par un État-nation, ont piraté et exploité une vulnérabilité logicielle vieille de quatre ans pour compromettre une agence du gouvernement fédéral américain.
Une alerte de la Agence pour la cybersécurité et la sécurité des infrastructures (CISA) publiée le 15 mars révèle que des pirates de plusieurs groupes ont réussi à exploiter des vulnérabilités connues dans Telerik, un outil d’interface utilisateur pour les serveurs web.
Ce logiciel, conçu pour construire des composants et des thèmes pour les applications web, fonctionnait sur le serveur web de l’agence américaine orienté vers l’Internet. Selon l’avis de la CISA, il semble que la vulnérabilité soit restée inaperçue pendant près de quatre ans.
Deux groupes de pirates ont exploité une vulnérabilité d’exécution de code répertoriée comme CVE-2019-18935 dans un outil de développement connu sous le nom de Telerik user interface (UI) for ASP.NET AJAX, qui se trouvait dans le serveur web Microsoft Internet Information Services (IIS) de l’agence. L’interface utilisateur Telerik pour ASP.NET AJAX est vendue par un éditeur de logiciels américain, Progress. Cet outil regroupe plus de 100 composants d’interface utilisateur que les développeurs peuvent utiliser pour réduire le temps nécessaire à la création d’applications Web personnalisées.
Fin 2019, Progress a publié la version 2020.1.114, qui a corrigé la CVE-2019-18935, une vulnérabilité de désérialisation non sécurisée qui permettait d’exécuter du code à distance sur des serveurs vulnérables. La vulnérabilité portait une note de gravité de 9,8 sur une possibilité de 10.
En 2020, les États-Unis Agence de sécurité nationale (NSA) a averti que cette vulnérabilité était utilisée par des acteurs parrainés par l’État chinois.
Selon la CISA, “cet exploit, qui entraîne un accès interactif au serveur web, a permis aux acteurs de la menace d’exécuter avec succès du code à distance sur le serveur web vulnérable[…]. Bien que le scanner de vulnérabilité de l’agence ait le plugin approprié pour CVE-2019-18935, il n’a pas détecté la vulnérabilité parce que le logiciel Telerik UI a été installé dans un chemin de fichier qu’il ne scanne pas habituellement… Cela peut être le cas pour de nombreuses installations de logiciels, car les chemins de fichiers varient largement en fonction de l’organisation et de la méthode d’installation.”
Vulnérabilités non corrigées
Pour réussir à exploiter CVE-2019-18935, les pirates doivent d’abord connaître les clés de chiffrement utilisées avec un composant connu sous le nom de Telerik RadAsyncUpload. Les enquêteurs fédéraux soupçonnent les acteurs de la menace d’avoir exploité l’une des 2 vulnérabilités découvertes en 2017 qui n’ont pas non plus été corrigées sur le serveur de l’agence. Les attaques des deux groupes ont utilisé une technique connue sous le nom de DLL side loading, qui consiste à remplacer des fichiers de bibliothèques de liens dynamiques légitimes dans Microsoft Windows par des fichiers malveillants. Certains des fichiers DLL téléchargés par le groupe étaient déguisés en images PNG.
Les fichiers malveillants ont ensuite été exécutés à l’aide d’un processus légitime pour les serveurs IIS appelé w3wp.exe. Un examen des journaux antivirus a permis de constater que certains des fichiers DLL téléchargés étaient présents sur le système dès le mois d’août 2021.
L’avis de la CISA n’identifie pas le groupe de menace parrainé par un État-nation, qui n’est désigné que sous le nom de TA1. Les enquêteurs ont identifié neuf fichiers DLL utilisés pour explorer le serveur et contourner les défenses de sécurité. Ces fichiers communiquaient avec un serveur de contrôle dont l’adresse IP était 137.184.130[.]162 ou 45.77.212[.]12. Le trafic vers ces adresses IP utilisait le protocole de contrôle de transmission (TCP) non crypté sur le port 443.
Le logiciel malveillant des pirates a pu charger des bibliothèques supplémentaires et supprimer des fichiers DLL pour dissimuler l’activité malveillante sur le réseau.
La CISA a également fait référence à un deuxième groupe, TA2, qui a été identifié comme étant Groupe XEque des chercheurs de la société de sécurité Volexity est vraisemblablement basé au Viêt Nam. Volexity et Malwarebytes ont signalé ce groupe comme étant spécialisé dans l’écrémage des cartes de paiement. “Comme TA1, TA2 a exploité CVE-2019-18935 et a pu télécharger au moins trois fichiers DLL uniques dans le répertoire C:\NWindows\NTemp\Nque TA2 a exécuté via le processus w3wp.exe”, a déclaré la CISA dans l’avis.
La violation est très probablement la conséquence de l’agence fédérale non nommée. n’a pas installé un correctif qui était disponible depuis des années. Les outils qui analysent les systèmes à la recherche de vulnérabilités limitent souvent leurs recherches à un certain nombre de chemins d’accès prédéfinis. Si cela peut se produire dans une organisation gouvernementale américaine, cela peut se produire dans de nombreuses autres organisations.
Les cybercriminels se concentrent généralement sur les cibles qui peuvent leur rapporter le plus avec le moins d’efforts possible. Ceci est souvent déterminé par leur capacité à étendre leurs attaques, et donc par la prévalence d’une vulnérabilité ou d’un système cible. Toute personne utilisant Telerik UI for ASP.NET AJAX devrait lire attentivement l’avis de la CISA pour s’assurer qu’elle n’est pas exposée.
Pour contrer de telles attaques, il est recommandé aux organisations de mettre à jour leurs instances de Telerik UI ASP.NET AJAX vers la dernière version, de mettre en œuvre une segmentation du réseau et d’appliquer une authentification multifactorielle résistante à l’hameçonnage pour les comptes qui ont un accès privilégié.
CISA : Telerik : Ars Technica : Malwarebytes : Volexity : Techcrunch : Hacker News :
Tu pourrais aussi lire :
Les API parfaitement codées peuvent être vulnérables aux attaques:
___________________________________________________________________________________________
Si tu aimes ce site web et que tu utilises l’annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel : £5 par mois ou £50 par an. S’inscrire
- Multi-utilisateurs, entreprises & ; comptes de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé, organisé et accessible
