Plusieurs acteurs de la menace, dont l’un travaille pour le compte d’un État-nation, ont eu accès au réseau d’une agence fédérale américaine en exploitant une vulnérabilité vieille de quatre ans qui n’a pas été corrigée, a averti le gouvernement américain.
Les activités d’exploitation d’un groupe ont probablement commencé en août 2021 et en août dernier par l’autre, selon un avis publié conjointement par la Cybersecurity and Infrastructure Security Agency, le FBI et le Multi-State Information Sharing and Analysis Center. De novembre dernier à début janvier, le serveur a montré des signes de compromis.
Vulnérabilité non détectée depuis 4 ans
Les deux groupes ont exploité une vulnérabilité d’exécution de code identifiée comme CVE-2019-18935 dans un outil de développement connu sous le nom d’interface utilisateur (UI) Telerik pour ASP.NET AJAX, qui se trouvait sur le serveur Web Microsoft Internet Information Services (IIS) de l’agence. L’avis n’identifiait pas l’agence, sauf pour dire qu’il s’agissait d’une agence fédérale de la branche exécutive civile sous l’autorité de la CISA.
L’interface utilisateur Telerik pour ASP.NET AJAX est vendue par une société appelée Progress, dont le siège est à Burlington, Massachusetts, et à Rotterdam aux Pays-Bas. L’outil regroupe plus de 100 composants d’interface utilisateur que les développeurs peuvent utiliser pour réduire le temps nécessaire à la création d’applications Web personnalisées. Fin 2019, Progress a publié la version 2020.1.114, qui corrigeait CVE-2019-18935, une vulnérabilité de désérialisation non sécurisée qui permettait d’exécuter du code à distance sur des serveurs vulnérables. La vulnérabilité portait une cote de gravité de 9,8 sur 10 possibles. En 2020, la NSA a averti que la vulnérabilité était exploitée par des acteurs parrainés par l’État chinois.
« Cet exploit, qui se traduit par un accès interactif avec le serveur Web, a permis aux acteurs de la menace d’exécuter avec succès du code à distance sur le serveur Web vulnérable », a expliqué l’avis de jeudi. « Bien que le scanner de vulnérabilité de l’agence disposait du plug-in approprié pour CVE-2019-18935, il n’a pas réussi à détecter la vulnérabilité en raison de l’installation du logiciel Telerik UI dans un chemin de fichier qu’il n’analyse généralement pas. Cela peut être le cas pour de nombreuses installations de logiciels, car les chemins de fichiers varient considérablement en fonction de l’organisation et de la méthode d’installation.
Plus de vulnérabilités non corrigées
Pour exploiter avec succès CVE-2019-18935, les pirates doivent d’abord connaître les clés de chiffrement utilisées avec un composant connu sous le nom de Telerik RadAsyncUpload. Les enquêteurs fédéraux soupçonnent que les acteurs de la menace ont exploité l’une des deux vulnérabilités découvertes en 2017 qui sont également restées non corrigées sur le serveur de l’agence.
Les attaques des deux groupes ont utilisé une technique connue sous le nom de chargement latéral DLL, qui consiste à remplacer les fichiers de bibliothèque de liens dynamiques légitimes dans Microsoft Windows par des fichiers malveillants. Certains des fichiers DLL téléchargés par le groupe étaient déguisés en images PNG. Les fichiers malveillants ont ensuite été exécutés à l’aide d’un processus légitime pour les serveurs IIS appelé w3wp.exe. Un examen des journaux antivirus a identifié que certains des fichiers DLL téléchargés étaient présents sur le système dès août 2021.
L’avis en disait peu sur le groupe de menaces parrainé par l’État-nation, si ce n’est pour identifier les adresses IP qu’il utilisait pour héberger des serveurs de commande et de contrôle. Le groupe, appelé TA1 dans l’avis de jeudi, a commencé à utiliser CVE-2019-18935 en août dernier pour énumérer les systèmes à l’intérieur du réseau d’agences. Les enquêteurs ont identifié neuf fichiers DLL utilisés pour explorer le serveur et échapper aux défenses de sécurité. Les fichiers communiqués avec un serveur de contrôle avec une adresse IP de 137.184.130[.]162 ou 45.77.212[.]12. Le trafic vers ces adresses IP utilisait le protocole TCP (Transmission Control Protocol) non crypté sur le port 443. Le logiciel malveillant de l’acteur malveillant était capable de charger des bibliothèques supplémentaires et de supprimer des fichiers DLL pour masquer les activités malveillantes sur le réseau.
L’avis faisait référence à l’autre groupe sous le nom de TA2 et l’identifiait comme XE Group, qui, selon les chercheurs de la société de sécurité Volexity, est probablement basé au Vietnam. Volexity et sa société de sécurité Malwarebytes ont déclaré que le groupe à motivation financière se livrait à l’écrémage des cartes de paiement.
« Semblable à TA1, TA2 a exploité CVE-2019-18935 et a pu télécharger au moins trois fichiers DLL uniques dans le répertoire C:WindowsTemp que TA2 a exécuté via le processus w3wp.exe », indique l’avis. « Ces fichiers DLL déposent et exécutent des utilitaires shell inversés (distants) pour une communication non chiffrée avec les adresses IP C2 associées aux domaines malveillants. »
La violation est le résultat du fait qu’une personne de l’agence anonyme n’a pas installé un correctif qui était disponible depuis des années. Comme indiqué précédemment, les outils qui analysent les systèmes à la recherche de vulnérabilités limitent souvent leurs recherches à un certain ensemble de chemins de fichiers prédéfinis. Si cela peut se produire au sein d’une agence fédérale, cela peut probablement se produire au sein d’autres organisations.
Toute personne utilisant l’interface utilisateur Telerik pour ASP.NET AJAX doit lire attentivement l’avis de jeudi ainsi que celui de Progress publié en 2019 pour s’assurer qu’ils ne sont pas exposés.