近日，多个威胁行为者，包括一个民族国家组织，利用Progress Telerik中存在三年的严重安全漏洞闯入美国一个未命名的联邦实体。   该披露来自网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和多州信息共享与分析中心(MS-ISAC)发布的联合咨询。 “利用此漏洞允许恶意行为者在联邦文职行政部门(FCEB)机构的Microsoft Internet 信息服务(IIS) Web 服务器上成功执行远程代码。”这些机构表示。 从2022年11月到2023年1月初，确定了与数字入侵相关的妥协指标(IoC)。 跟踪为CVE-2019-18935（CVSS分数：9.8），该问题与影响ASP.NET AJAX的Progress Telerik UI的.NET反序列化漏洞有关，如果不打补丁，可能会导致远程代码执行。 在此值得注意的是，CVE-2019-18935之前曾在2020年和2021年被各种威胁参与者滥用的一些最常利用的漏洞中占有一席之地。 CVE-2019-18935与CVE-2017-11317一起，也被追踪为Praying Mantis（又名TG2021）的威胁行为者武器化，以渗透到美国的公共和私人组织网络。 上个月，CISA还将CVE-2017-11357——另一个影响 Telerik UI 的远程代码执行错误——添加到已知被利用漏洞(KEV)目录中，引用了积极利用的证据。 在2022年8月记录的针对FCEB机构的入侵中，据说威胁行为者利用CVE-2019-18935 通过 w3wp.exe 进程上传和执行伪装成 PNG 图像的恶意动态链接库(DLL)文件。 DLL工件旨在收集系统信息、加载额外的库、枚举文件和进程，并将数据泄露回远程服务器。 早在2021年8月就观察到的另一组攻击很可能是由名为XE Group的网络犯罪分子发起的，需要使用上述规避技术来规避检测。 这些DLL文件投放并执行反向（远程）shell实用程序，用于与命令和控制域进行未加密的通信，以投放额外的有效负载，包括用于持久后门访问的ASPX web shell。 Web shell配备了“枚举驱动器；发送、接收和删除文件；以及执行传入的命令”和“包含一个用于轻松浏览系统上的文件、目录或驱动器的界面，并允许用户上传或将文件下载到任何目录。” 为应对此类攻击，建议组织将其 Telerik UI ASP.NET AJAX 实例升级到最新版本，实施网络分段，并对具有特权访问权限的帐户强制实施抗网络钓鱼的多因素身份验证。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/qU9A5AM7gtCW-aPRF1pqVg 封面来源于网络，如有侵权请联系删除

美国政府警告说，多个网络犯罪团伙，包括一个国家支持的黑客组织，利用一个四年前的软件漏洞损害一个美国联邦政府机构。CISA、联邦调查局和多国信息共享和分析中心（称为MS-ISAC）周三发布的一份联合警报显示，来自多个黑客团伙的黑客利用了网络服务器的用户界面工具Telerik的已知漏洞。 这个软件旨在为网络应用程序构建组件和主题，在多个美国机构面向互联网的网络服务器上运行。 CISA没有说出被入侵的联邦文职行政部门（FCEB）机构的完整名字，但这个名单包括国土安全部、财政部和联邦贸易委员会。 Telerik漏洞被追踪为CVE-2019-18935，漏洞严重程度评级为9.8（满分10.0），被列为2020年和2021年最常被利用的漏洞之一。该漏洞在2019年首次被发现，美国国家安全局此前警告说，该漏洞已被国家支持的黑客积极利用，以持有”敏感知识产权、经济、政治和军事信息”的计算机网络为目标。 CISA说，该漏洞允许恶意攻击者在该机构的网络服务器上”成功执行远程代码”，暴露了对该机构内部网络的访问。公告指出，该机构的漏洞扫描器未能发现该漏洞，因为Telerik的软件被安装在扫描器通常不扫描的地方。 根据CISA的咨询，该网络安全机构表示，从2022年11月到2023年1月初，它观察到多个黑客组织在利用这个漏洞，包括国家支持的黑客组织，以及一个与越南有联系的信用卡盗刷行为者，称为XE Group。 CISA已经发布了入侵防御指导，并敦促运行有漏洞的Telerik软件的组织确保应用安全补丁。 CISA本周还将一个Adobe ColdFusion漏洞添加到其已知的被利用的漏洞列表中，警告说该漏洞–被追踪为CVE-2023-26360，严重性评分为8.6–可以被利用，允许攻击者实现任意代码执行。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7211131095138435599/ 封面来源于网络，如有侵权请联系删除