Berbagai aktor ancaman—salah satunya bekerja atas nama negara-bangsa—mendapatkan akses ke jaringan agen federal AS dengan mengeksploitasi kerentanan berusia empat tahun yang masih belum ditambal, pemerintah AS memperingatkan.
Aktivitas eksploitasi oleh satu kelompok kemungkinan besar dimulai pada Agustus 2021 dan Agustus lalu oleh kelompok lain, menurut sebuah penasehat yang diterbitkan bersama oleh Cybersecurity and Infrastructure Security Agency, FBI, dan Pusat Analisis dan Berbagi Informasi Multi-State. Dari November lalu hingga awal Januari, server menunjukkan tanda-tanda kompromi.
Kedua grup mengeksploitasi kerentanan eksekusi kode yang dilacak sebagai CVE-2019-18935 di alat pengembang yang dikenal sebagai antarmuka pengguna Telerik (UI) untuk ASP.NET AJAX, yang terletak di server web Microsoft Internet Information Services (IIS) agensi. Penasihat itu tidak mengidentifikasi badan tersebut selain mengatakan bahwa itu adalah Badan Cabang Eksekutif Sipil Federal di bawah otoritas CISA.
UI Telerik untuk ASP.NET AJAX dijual oleh perusahaan bernama Progress, yang berkantor pusat di Burlington, Massachusetts, dan Rotterdam di Belanda. Alat ini menggabungkan lebih dari 100 komponen UI yang dapat digunakan pengembang untuk mengurangi waktu yang diperlukan untuk membuat aplikasi Web kustom. Pada akhir 2019, Progress merilis versi 2020.1.114, yang menambal CVE-2019-18935, kerentanan deserialisasi tidak aman yang memungkinkan eksekusi kode dari jarak jauh pada server yang rentan. Kerentanan membawa peringkat keparahan 9,8 dari kemungkinan 10. Pada tahun 2020, NSA memperingatkan bahwa kerentanan sedang dieksploitasi oleh aktor yang disponsori negara China.
“Eksploitasi ini, yang menghasilkan akses interaktif dengan server web, memungkinkan pelaku ancaman berhasil mengeksekusi kode jarak jauh di server web yang rentan,” jelas penasehat hari Kamis. “Meskipun pemindai kerentanan agensi memiliki plugin yang sesuai untuk CVE-2019-18935, ia gagal mendeteksi kerentanan karena perangkat lunak Telerik UI dipasang di jalur file yang biasanya tidak dipindai. Ini mungkin terjadi pada banyak penginstalan perangkat lunak, karena jalur file sangat bervariasi tergantung pada organisasi dan metode penginstalan.”
Selengkapnya: ars TECHNICA
