联邦机构网络安全漏洞被利用

关键要点

• 多个网络威胁行为者利用了一个首见于2019年的漏洞，实现远程代码执行（RCE），攻击了美国某联邦机构的网络服务器。
• 针对该漏洞（CVE-2019-18935）的攻击从11月开始，持续了大约三个月时间。
• 美国网络安全和基础设施安全局（CISA）在2023年3月15日发布了相关安全建议，指出这些行为者包括一个未命名的高级持续威胁（APT）组织，以及一个名为XE Group的越南网络犯罪团伙。

根据美国网络安全和基础设施安全局（CISA）的报告，多个网络威胁行为者在大约三个月的时间里，利用了一个早在2019年被文档记录的漏洞，成功获得了对某个联邦机构网络服务器的远程代码执行（RCE）权限。

在CISA于中，透露了威胁行为者所利用的漏洞——ProgressTelerik的漏洞（），从而成功侵入了这家联邦执行部门的MicrosoftInternet Information Services（IIS）网络服务器。

虽然该建议未明确指出受影响的具体机构，但表示攻击活动始于11月，并持续到次年1月初。

该漏洞的严重程度评分为9.8分，首次在美国国家标准与技术研究院（NIST）的国家漏洞数据库中发布于2019年12月，3月15日进行了更新。CISA在另一个与相关联的建议中，详细列出了妥协指标（IOCs）、缓解措施及其他信息。

重要发现

• CVE-2019-18935 可能与其他已知的Progress Telerik漏洞联合使用，进一步攻击该机构。
• 分析人士未发现特权提升或横向移动的证据，但杀毒软件日志显示，某些DLL文件早在2021年8月就被创建并检测到。

该APT利用CVE-2019-18935漏洞上传恶意DLL文件，以加载额外的库、枚举系统、进程和文件目录，并进行文件写入。对APT的其他样本分析显示，它们能够删除DLL文件，从而隐藏额外的恶意活动，并与命令控制服务器进行通信。

附录

如需详细信息，请参考.