CISA заявляет, что хакеры месяцами имели доступ к федеральному агентству
вычисления techradar.com Новости

CISA заявляет, что хакеры месяцами имели доступ к федеральному агентству

17 марта 2023 г.

Неназванная гражданская исполнительная власть США в течение шести месяцев непреднамеренно передавала разведданные киберпреступникам и спонсируемым государством злоумышленникам, говорится в новом отчете правоохранительных органов и спецслужб страны.

Ранее на этой неделе Агентство по кибербезопасности и безопасности инфраструктуры (CISA), Федеральное бюро расследований (ФБР), а также другие агентства опубликовали совместный отчет, в котором утверждается, что хакеры имели постоянный доступ к системам этой организации. с августа 2022 г. по январь 2023 г.

Они получили доступ к целевой сети, используя многочисленные уязвимости, обнаруженные в программах, используемых агентством, созданных Progress Telerik, компанией-разработчиком программного обеспечения из Болгарии.

Богомол и XE Group

Ключевой используемой уязвимостью является CVE-2019-18835, уязвимость четырехлетней давности, присутствующая в версиях программного обеспечения Progress Telerik с 2020 года. Она может привести к удаленному выполнению кода в сочетании с двумя другими уязвимостями: CVE-2017- 11317 или CVE-2017-11357.

Хотя в отчете не указаны конкретные субъекты угроз, The Record сообщил, что Praying Mantis — группа, предположительно базирующаяся в Китае, — является злоумышленником, наиболее известным злоупотреблением этой конкретной уязвимостью. Тот же источник добавляет, что злоумышленник, известный как XE Group, также использовал уязвимость для проведения разведки и сканирования.

CISA заявила, что уязвимость дала злоумышленникам доступ к веб-серверу службы Microsoft Internet Information Services (IIS), который организация использовала для хранения различных материалов:

Подробнее

> Многие агентства США могли быть взломаны из-за недостатков Ivanti

> Microsoft заявляет, что выявила более 40 жертв взлома SolarWinds

> Это лучшие службы защиты конечных точек на данный момент

«Этот эксплойт, который приводит к интерактивному доступу к веб-серверу, позволил злоумышленникам успешно выполнить удаленный код на уязвимом веб-сервере», — говорится в сообщении CISA.

Более ранние уязвимости обычно известны, поэтому любые вредоносные программы, использующие его, обнаруживаются антивирусными программами. Однако оказалось, что уязвимые инструменты Progress Telerik были установлены в местах, которые антивирусное программное обеспечение не сканировало.

"Это может иметь место при установке многих программ, поскольку пути к файлам сильно различаются в зависимости от организации и метода установки", – добавили в CISA.

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE