Eine ungenannte US-Zivilexekutive hat Cyberkriminellen und staatlich geförderten Bedrohungsakteuren sechs Monate lang unbeabsichtigt Informationen zugeführt, wie ein neuer Bericht der Strafverfolgungs- und Geheimdienste des Landes behauptet.
Anfang dieser Woche veröffentlichten die Cybersecurity and Infrastructure Security Agency (CISA), das Federal Bureau of Investigation (FBI) sowie andere Behörden einen gemeinsamen Bericht, in dem behauptet wird, Hacker hätten von August 2022 bis Januar 2023 unverminderten Zugriff auf die Systeme dieser Organisation gehabt.
Sie griffen auf das Zielnetzwerk zu, indem sie mehrere Schwachstellen nutzten, die in Programmen entdeckt wurden, die von der Agentur verwendet wurden, die von Progress Telerik, einem Softwareentwicklungsunternehmen aus Bulgarien, entwickelt wurde.
Gottesanbeterin und XE Group
Die wichtigste Schwachstelle, die verwendet wird, ist CVE-2019-18835, ein vier Jahre alter Fehler, der seit 2020 in Versionen der Progress Telerik-Software vorhanden ist. Er kann zur Remotecodeausführung führen, wenn er mit zwei anderen Schwachstellen verkettet wird: CVE-2017-11317 oder CVE -2017-11357.
Während der Bericht keine konkreten Bedrohungsakteure nennt, Der Datensatz (öffnet in neuem Tab) berichteten, dass Praying Mantis – eine Gruppe, die angeblich in China ansässig ist – der Bedrohungsakteur ist, der am bekanntesten dafür ist, diesen speziellen Fehler zu missbrauchen. Dieselbe Quelle fügt hinzu, dass auch ein Bedrohungsakteur namens XE Group beobachtet wurde, der den Fehler nutzte, um Aufklärungs- und Scan-Aktivitäten durchzuführen.
CISA sagte, dass der Fehler den Angreifern Zugriff auf den Microsoft Internet Information Services (IIS)-Webserver der Agentur verschaffte, auf dem die Organisation verschiedenes Material speicherte:
„Dieser Exploit, der zu einem interaktiven Zugriff auf den Webserver führt, ermöglichte es den Bedrohungsakteuren, erfolgreich entfernten Code auf dem anfälligen Webserver auszuführen“, sagte CISA.
Ältere Schwachstellen sind normalerweise bekannt und daher wird jede Malware, die sie verwendet, von Antivirenprogrammen abgefangen. Es stellt sich jedoch heraus, dass die anfälligen Tools von Progress Telerik an Stellen installiert wurden, an denen die Antivirensoftware nicht gescannt hat.
„Dies kann bei vielen Softwareinstallationen der Fall sein, da die Dateipfade je nach Organisation und Installationsmethode stark variieren“, fügte CISA hinzu.