【原】美国称多个黑客组织利用美政府IIS服务器漏洞

多个威胁行为者，利用 Progress Telerik 中存在三年的严重安全漏洞闯入美国一个未命名的联邦实体

该披露来自网络安全和基础设施安全局 (CISA)、联邦调查局 (FBI) 和多州信息共享与分析中心 (MS-ISAC) 发布的联合咨询。

“利用此漏洞允许恶意行为者在联邦文职行政部门 (FCEB) 机构的 Microsoft Internet 信息服务 (IIS) Web 服务器上成功执行远程代码，”这些机构表示。

从 2022 年 11 月到 2023 年 1 月初，确定了与数字入侵相关的妥协指标 (IoC)。

概括 从 2022 年 11 月到 2023 年 1 月上旬，网络安全和基础设施安全局 (CISA) 和创作组织发现联邦文职行政部门 (FCEB) 机构存在妥协指标 (IOC)。分析师确定多个网络威胁参与者，包括一个 APT 参与者，能够利用 Progress Telerik 用户界面 (UI) 中的 .NET 反序列化漏洞 ( CVE-2019-18935) for ASP.NET AJAX，位于该机构的 Microsoft Internet Information服务 (IIS) Web 服务器。成功利用此漏洞可实现远程代码执行。根据 Progress Software 的说法，2020 年第 1 版 (2020.1.114) 之前构建的适用于 ASP.NET AJAX 的 Telerik UI 容易受到此漏洞的攻击。 要采取的减轻恶意网络活动的行动： 实施补丁管理解决方案以确保符合最新的安全补丁。 针对正在运行的服务验证补丁管理和漏洞扫描的输出，以检查差异并说明所有服务。 将服务帐户限制为运行服务所需的最低权限。 CISA、联邦调查局 (FBI) 和多州信息共享与分析中心 (MS-ISAC) 正在发布这份联合网络安全咨询 (CSA)，为 IT 基础设施防御者提供策略、技术和程序 (TTP) 、IOC 以及检测和防止类似利用的方法。

跟踪为CVE-2019-18935（CVSS 分数：9.8），该问题与影响 ASP.NET AJAX 的 Progress Telerik UI 的 .NET反序列化漏洞有关，如果不打补丁，可能会导致远程代码执行。

在此值得注意的是，CVE-2019-18935 之前曾在 2020 年和 2021 年被各种威胁参与者滥用的一些最常利用的漏洞中占有一席之地。

CVE-2019-18935 与CVE-2017-11317一起，也被追踪为Praying Mantis（又名 TG2021）的威胁行为者武器化，以渗透到美国的公共和私人组织网络

上个月，CISA 还将CVE-2017-11357 （另一个影响 Telerik UI 的远程代码执行错误）添加 到已知被利用漏洞 (KEV) 目录中，并引用了积极利用的证据。

在 2022 年 8 月记录的针对 FCEB 机构的入侵中，据说威胁行为者利用 CVE-2019-18935 通过 w3wp.exe 进程上传和执行伪装成 PNG 图像的恶意动态链接库 (DLL)文件。

DLL 工件旨在收集系统信息、加载额外的库、枚举文件和进程，并将数据泄露回远程服务器。

早在 2021 年 8 月就观察到的另一组攻击很可能是由名为XE Group的网络犯罪分子发起的，需要使用上述规避技术来规避检测。

这些 DLL 文件投放并执行反向（远程）shell 实用程序，用于与命令和控制域进行未加密的通信，以投放额外的有效负载，包括用于持久后门访问的 ASPX web shell。

Web shell 配备了“枚举驱动器；发送、接收和删除文件；以及执行传入的命令”和“包含一个用于轻松浏览系统上的文件、目录或驱动器的界面，并允许用户上传或将文件下载到任何目录。”

为应对此类攻击，建议组织将其 Telerik UI ASP.NET AJAX 实例升级到最新版本，实施网络分段，并对具有特权访问权限的帐户强制执行抗网络钓鱼的多因素身份验证。

编译自：thehackernews.com、CISA

>>>等级保护<<<

2. 
   
3. 开启等级保护之路：GB 17859网络安全等级保护上位标准
4. 回看等级保护：重要政策规范性文件43号文（上）

5. 网络安全等级保护实施指南培训PPT
   

6. 网络安全等级保护安全物理环境测评培训PPT
   

7. 网络安全等级保护：等级保护测评过程要求PPT

8. 网络安全等级保护：安全管理中心测评PPT
   

9. 网络安全等级保护：安全管理制度测评PPT
   

10. 网络安全等级保护：定级指南与定级工作PPT
    

11. 网络安全等级保护：云计算安全扩展测评PPT
    

12. 网络安全等级保护：工业控制安全扩展测评PPT
    

13. 网络安全等级保护：移动互联安全扩展测评PPT

14. 网络安全等级保护：第三级网络安全设计技术要求整理汇总
15. 网络安全等级保护：等级测评中的渗透测试应该如何做
16. 网络安全等级保护：等级保护测评过程及各方责任
17. 网络安全等级保护：政务计算机终端核心配置规范思维导图
18. 网络安全等级保护：什么是等级保护？
    
19. 网络安全等级保护：信息技术服务过程一般要求

20. 网络安全等级保护：浅谈物理位置选择测评项

21. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
22. 闲话等级保护：什么是网络安全等级保护工作的内涵？
23. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
    
24. 闲话等级保护：测评师能力要求思维导图
    
25. 闲话等级保护：应急响应计划规范思维导图
    
26. 闲话等级保护：浅谈应急响应与保障
    
27. 闲话等级保护：如何做好网络总体安全规划
    
28. 闲话等级保护：如何做好网络安全设计与实施
    
29. 闲话等级保护：要做好网络安全运行与维护
    
30. 闲话等级保护：人员离岗管理的参考实践

31. 信息安全服务与信息系统生命周期的对应关系

33. >>>工控安全<<<
34. 
    
35. 工业控制系统安全：信息安全防护指南
36. 工业控制系统安全：工控系统信息安全分级规范思维导图
37. 工业控制系统安全：DCS防护要求思维导图
38. 工业控制系统安全：DCS管理要求思维导图
39. 工业控制系统安全：DCS评估指南思维导图
40. 工业控制安全：工业控制系统风险评估实施指南思维导图
41. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
42. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
43. 
    
44. >>>数据安全<<<

45. 数据治理和数据安全

46. 数据安全风险评估清单

47. 成功执行数据安全风险评估的3个步骤

48. 美国关键信息基础设施数据泄露的成本

49. 备份：网络和数据安全的最后一道防线

50. 数据安全：数据安全能力成熟度模型

51. 数据安全知识：什么是数据保护以及数据保护为何重要？

52. 信息安全技术：健康医疗数据安全指南思维导图

53. 金融数据安全：数据安全分级指南思维导图

54. 金融数据安全：数据生命周期安全规范思维导图
    

56. >>>供应链安全<<<

57. 美国政府为客户发布软件供应链安全指南
    

58. OpenSSF 采用微软内置的供应链安全框架
    

59. 供应链安全指南：了解组织为何应关注供应链网络安全
    

60. 供应链安全指南：确定组织中的关键参与者和评估风险
    

61. 供应链安全指南：了解关心的内容并确定其优先级

62. 供应链安全指南：为方法创建关键组件

63. 供应链安全指南：将方法整合到现有供应商合同中

64. 供应链安全指南：将方法应用于新的供应商关系

65. 供应链安全指南：建立基础，持续改进。

66. 思维导图：ICT供应链安全风险管理指南思维导图
    

67. 英国的供应链网络安全评估

68. >>>其他<<<

69. 网络安全十大安全漏洞

70. 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

71. 网络安全等级保护：应急响应计划规范思维导图

72. 安全从组织内部人员开始

73. VMware 发布9.8分高危漏洞补丁

74. 影响2022 年网络安全的五个故事

75. 2023年的4大网络风险以及如何应对

76. 网络安全知识：物流业的网络安全

77. 网络安全知识：什么是AAA（认证、授权和记账）？

78. 美国白宫发布国家网络安全战略

79. 开源代码带来的 10 大安全和运营风险

80. 不能放松警惕的勒索软件攻击