أخبار التقنية

تم اختراق الوكالة الفيدرالية من قبل مجموعتين بفضل عيب لم يتم إصلاحه لمدة 4 سنوات


GettyImages

وحذرت حكومة الولايات المتحدة من أن العديد من الجهات الفاعلة في مجال التهديد – أحدها يعمل نيابة عن دولة قومية – تمكنت من الوصول إلى شبكة وكالة فيدرالية أمريكية من خلال استغلال نقطة ضعف عمرها أربع سنوات ظلت غير مسبوقة.

من المحتمل أن تكون أنشطة الاستغلال من قبل مجموعة واحدة قد بدأت في أغسطس 2021 وفي أغسطس الماضي من قبل المجموعة الأخرى ، وفقًا لاستشارة تم نشرها بشكل مشترك من قبل وكالة الأمن السيبراني وأمن البنية التحتية ومكتب التحقيقات الفيدرالي ومركز تبادل المعلومات وتحليلها متعدد الدول. من نوفمبر الماضي إلى أوائل يناير ، أظهر الخادم بوادر حل وسط.

عدم الكشف عن الضعف لمدة 4 سنوات

استغلت المجموعتان ثغرة في تنفيذ التعليمات البرمجية تم تتبعها باسم CVE-2019-18935 في أداة مطور تُعرف باسم واجهة مستخدم Telerik (UI) لـ ASP.NET AJAX ، والتي كانت موجودة في خادم الويب Microsoft Internet Information Services (IIS) للوكالة. لم يحدد الاستشاري الوكالة بخلاف القول إنها كانت وكالة تابعة للفرع التنفيذي المدني الفيدرالي تحت سلطة CISA.

يتم بيع Telerik UI لـ ASP.NET AJAX من قبل شركة تسمى Progress ، ومقرها في برلنغتون وماساتشوستس وروتردام في هولندا. تجمع الأداة أكثر من 100 مكون من مكونات واجهة المستخدم التي يمكن للمطورين استخدامها لتقليل الوقت الذي يستغرقه إنشاء تطبيقات ويب مخصصة. في أواخر عام 2019 ، أصدرت Progress الإصدار 2020.1.114 ، الذي تم تصحيح CVE-2019-18935 ، وهو ثغرة أمنية غير آمنة لإلغاء التسلسل جعلت من الممكن تنفيذ التعليمات البرمجية عن بُعد على الخوادم الضعيفة. بلغت درجة الخطورة 9.8 من أصل 10. في عام 2020 ، حذرت وكالة الأمن القومي من أن الجهات الفاعلة التي ترعاها الدولة الصينية تستغل الثغرة الأمنية.

أوضحت الاستشارات الصادرة يوم الخميس أن “هذا الاستغلال ، الذي ينتج عنه وصول تفاعلي مع خادم الويب ، مكّن الجهات الفاعلة في التهديد من تنفيذ التعليمات البرمجية عن بُعد بنجاح على خادم الويب الضعيف”. “على الرغم من أن برنامج فحص الثغرات الأمنية للوكالة كان يحتوي على البرنامج المساعد المناسب لـ CVE-2019-18935 ، إلا أنه فشل في اكتشاف الثغرة الأمنية بسبب تثبيت برنامج Telerik UI في مسار ملف لا يفحصه عادةً. قد يكون هذا هو الحال بالنسبة للعديد من عمليات تثبيت البرامج ، حيث تختلف مسارات الملفات بشكل كبير حسب المنظمة وطريقة التثبيت. “

المزيد من نقاط الضعف التي لم يتم إصلاحها

لاستغلال CVE-2019-18935 بنجاح ، يجب أن يكون لدى المتسللين معرفة بمفاتيح التشفير المستخدمة مع مكون يُعرف باسم Telerik RadAsyncUpload. يشتبه المحققون الفيدراليون في أن الجهات الفاعلة في التهديد استغلت إحدى ثغرات الضعف التي تم اكتشافها في عام 2017 والتي ظلت أيضًا غير مصححة على خادم الوكالة.

استخدمت الهجمات من كلا المجموعتين تقنية تُعرف باسم التحميل الجانبي لـ DLL ، والتي تتضمن استبدال ملفات مكتبة الارتباط الديناميكي الشرعية في Microsoft Windows بملفات ضارة. تم إخفاء بعض ملفات DLL التي حمّلتها المجموعة على هيئة صور PNG. ثم تم تنفيذ الملفات الضارة باستخدام عملية شرعية لخوادم IIS تسمى w3wp.exe. حددت مراجعة لسجلات مكافحة الفيروسات أن بعض ملفات DLL التي تم تحميلها كانت موجودة على النظام في وقت مبكر من أغسطس 2021.

لم يذكر الاستشارة سوى القليل عن مجموعة التهديد التي ترعاها الدولة ، بخلاف تحديد عناوين IP التي تستخدمها لاستضافة خوادم القيادة والسيطرة. بدأت المجموعة ، التي يشار إليها باسم TA1 في الاستشارات يوم الخميس ، في استخدام CVE-2019-18935 في أغسطس الماضي لتعداد الأنظمة داخل شبكة الوكالة. حدد المحققون تسعة ملفات DLL تستخدم لاستكشاف الخادم والتهرب من الدفاعات الأمنية. تتصل الملفات بخادم التحكم بعنوان IP 137.184.130[.]162 أو 45.77.212[.]12. استخدمت حركة المرور إلى عناوين IP هذه بروتوكول التحكم في الإرسال غير المشفر (TCP) عبر المنفذ 443. تمكن البرنامج الضار لممثل التهديد من تحميل مكتبات إضافية وحذف ملفات DLL لإخفاء النشاط الضار على الشبكة.

وأشار المستشار إلى المجموعة الأخرى باسم TA2 وحددها على أنها XE Group ، والتي قال باحثون من شركة Volexity الأمنية إنها من المحتمل أن يكون مقرها في فيتنام. قالت كل من شركة Volexity وزميلتها شركة الأمن Malwarebytes إن المجموعة ذات الدوافع المالية تشارك في سرقة بطاقات الدفع.

“على غرار TA1 ، استغل TA2 CVE-2019-18935 وكان قادرًا على تحميل ثلاثة ملفات DLL فريدة على الأقل في الدليل C: \ Windows \ Temp \ الذي نفذته TA2 عبر عملية w3wp.exe” ، جاء في الاستشارة. “تقوم ملفات DLL هذه بإسقاط وتنفيذ أدوات shell المساعدة العكسية (عن بُعد) للاتصال غير المشفر بعناوين C2 IP المرتبطة بالمجالات الضارة.”

الخرق هو نتيجة لفشل شخص ما في وكالة لم تذكر اسمها في تثبيت تصحيح كان متاحًا منذ سنوات. كما ذكرنا سابقًا ، غالبًا ما تقصر الأدوات التي تفحص الأنظمة بحثًا عن نقاط الضعف عمليات البحث على مجموعة معينة من مسارات الملفات المحددة مسبقًا. إذا كان هذا يمكن أن يحدث داخل وكالة فيدرالية ، فمن المحتمل أن يحدث داخل المنظمات الأخرى.

يجب على أي شخص يستخدم Telerik UI لـ ASP.NET AJAX أن يقرأ بعناية إرشادات يوم الخميس بالإضافة إلى التقدم المنشور في 2019 للتأكد من عدم كشفها.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى