مشرف
Mitu kurjategijat, sealhulgas vähemalt potentsiaalselt üks rahvusriikide rühmitus, tungisid USA föderaalvalitsuse agentuuri Microsoft Internet Information Services veebiserverisse, kasutades ära kriitilist kolm aastat vana Teleriku viga, et saavutada koodi kaugkäivitamine.
FBI, CISA ja Ameerika mitme osariigi teabejagamis- ja analüüsikeskuse (MS-ISAC) sel nädalal avaldatud ühishoiatuse kohaselt leidis snafu aset ajavahemikus novembrist 2022 kuni jaanuari alguseni.
Föderatsioonid said sissetungist teadlikuks pärast seda, kui märkasid föderaalse tsiviiltäitevvõimu agentuuri juures hoiatussilte, teatas nõuanne. Ta ei nimetanud föderaalset agentuuri.
“Analüütikud tegid kindlaks, et mitu küberohtu, sealhulgas üks APT osaleja, suutsid agentuuri Microsoft Internetis asuvas Progress Teleriku kasutajaliideses (UI) kasutada .NET deserialiseerimise haavatavust (CVE-2019-18935) ASP.NET AJAX jaoks. Infoteenuste (IIS) veebiserver, ” ütles ühisnõunik.
Serialiseerimine on protsess, mille käigus muudetakse mälus olev andmestruktuur baitide seeriaks salvestamiseks või edastamiseks. Deserialiseerimine muudab selle ümber ja muudab andmevoo tagasi mälus olevaks objektiks.
Deserialiseerimise haavatavused mõjutavad mitut programmeerimiskeelt ja rakendust ning, nagu Mandiant selgitab, on sisuliselt “tulemus rakendustest, mis usaldavad liiga palju andmeid, mida kasutaja (või ründaja) võib rikkuda”.
See konkreetne Teleriku viga, mis sai CVSS-i raskusastmeks 9,8 10-st, avastati esmakordselt 2019. aastal ja on eriti populaarne Pekingi toetatud kurjategijate seas. 2020. aastal jõudis Hiina valitsuse häkkerite 25 peamise arvutiturbe haavatavuse loendisse võrkudesse tungimiseks ja andmete varastamiseks.
Ehkki keskpangad ei tuvasta oma hoiatuses arenenud püsiva ohu (APT) mängijat, oleksime valmis kihla vedama, et see on üks president Xi Jinpingi küberkuritegude rühmadest. Ja on selge, et keegi föderaalvalitsusest ei saanud teadet turvaparanduste õigeaegse rakendamise kohta.
Nõuande kohaselt on haavatavad ainult Telerik UI for ASP.NET AJAX buildid enne R1 2020 (2020.1.114). Ja eraldi pahavara analüüsis tuvastas CISA pahatahtlikud failid ja muud ohunäitajad.
Lisaks soovitab küberjulgeolekuagentuur organisatsioonidel tarkvara ajakohasuse tagamiseks olla paigas ja piirata õigusi teenuste käitamiseks vajaliku miinimumini.
Viimane turvahoiatus järgneb USA valitsuse kõrgetasemelisele sissemurdmisele ja andmete vargustele. Eelmisel nädalal teatas FBI, et uurib DC Health Care Linki hallatavate serverite rikkumist, mille käigus kelmid varastasid Kongressi liikmete ja töötajate isikuandmeid.
DC Health Link on taskukohase hoolduse seaduse veebiturg, mis haldab nii kongressi liikmete kui ka nende pereliikmete ja töötajate tervishoiuplaane. Osa neist varastatud andmetest pakutakse nüüd tumedates veebifoorumites müügiks.
Veebruari lõpus tunnistas USA marssaliteenistus oma infoturbe kaitsemeetmete “suurt” rikkumist, mis viis lunavara nakatumiseni ja “õiguskaitsealase tundliku teabe” väljafiltreerimiseni. ®