2 cybercrimegroepen binnen via 1 gat dat ruim 3 jaar openstond
Een kritiek RCE-gat in developertool bij Amerikaanse overheidsinstantie had al in 2019 een patch, in 2020 een NSA-waarschuwing dat Chinese hackers het misbruiken, en in 2021 en 2022 twee achtereenvolgende inbraken. Van één aanvaller weet de Amerikaanse overheid nu te melden dat die werkt namens een natiestaat. Dat het gat zo lang heeft opengestaan, is te wijten aan het installatiepad van de kwetsbare tool.
© CC0
CC0
Terwijl leverancier Progress eind 2019 al een patch heeft uitgebracht voor de Telerik UI for ASP.NET AJAX, blijkt die nooit te zijn toegepast door de gehackte overheidsinstantie. De Cybersecurity and Infrastructure Security Agency (CISA) en de FBI houden de identiteit van dat agentschap geheim, maar geven wel diverse details over de hackaanvallen. Deze kunnen leerzaam zijn voor andere organisaties en bedrijven om hun cybersecurity te verbeteren.
Patchen
De twee verschillende aanvallers hebben allebei een remote code-execution (RCE) kwetsbaarheid misbruikt in de Telerik-software, die eind 2014 is overgenomen door Progress Software. Die leverancier heeft eind 2019 een update uitgebracht die de betreffende kwetsbaarheid (CVE-2019-18935) verhelpt, meldt Ars Technica. Het gat heeft toen het cijfer 9,8 op een schaal van 10 gekregen voor de ernst ervan.
Grofweg een jaar later bevond dit kritieke beveiligingsgat zich in een lijst van kwetsbaarheden waar de Amerikaanse inlichtingendienst NSA toen voor waarschuwde. 'Chinese staatsgesteunde aanvallers misbruiken publiek bekende kwetsbaarheden', aldus de cybersecurity-advisory van de NSA.
Meer kwetsbaarheden
Voor succesvol misbruik van de Telerik-kwetsbaarheid moeten aanvallers wel eerst de encryptiesleutels kennen die worden gebruikt door een component van de kwetsbare software. Daar valt echter aan te komen via één van twee kwetsbaarheden die al in 2017 zijn ontdekt. Ook die gaten bleken niet gepatcht te zijn bij de gehackte overheidsorganisaties.
De succesvolle aanvallers hebben deze onveilige opstelling benut om kwaadaardige DLL-bestanden te plaatsen op Windows-servers. In enkele gevallen is dat gedaan door de malafide DLL's te vermommen als PNG-afbeeldingen. Forensisch onderzoek heeft uitgewezen dat er in augustus 2021 al enkele van die 'sideloaded' DLL-bestanden aanwezig waren binnen de organisatie. In augustus 2022 is een tweede 'threat actor' ook langs de weg van Progress' Telerik-tools binnengekomen.
Blinde securityscanner
De getroffen overheidsinstantie had wel een kwetsbaarhedenscanner in gebruik en die securitytool was ook voorzien van de plugin om de bewuste kwetsbaarheid te kunnen detecteren. Alleen is detectie in de praktijk niet gebeurd doordat de Telerik-software was geïnstalleerd op een locatie die de securityscanner normaliter niet bekijkt. Dit kan het geval zijn voor veel software-installaties, aangezien bestandspaden sterk uiteen lopen afhankelijk van de gebruikende organisatie en gebruikte installatiemethode, merkt CISA op.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee