Microsoft IIS の Telerik コンポーネントの脆弱性:放置した米政府機関に大きな被害

US federal agency hacked using old Telerik bug to steal data

2023/03/15 BleepingComputer — 昨年に米国の連邦政府機関において、Microsoft Internet Information Services (IIS) Web サーバがハッキングされたが、その原因は Progress Telerik UI for ASP.NET AJAX コンポーネントの、深刻な .NET デシリアライズの脆弱性にあるという。3月15日に CISA/FBI/MS-ISAC が発表した共同勧告によると、ある連邦民間行政府 (FCEB) 機関のネットワークで見つかった、侵害指標 (IOC) を分析したところ、2022年11月〜2023年1月初旬にかけて攻撃者がサーバにアクセスしたことが判明したという。

少なくとも2人の脅威アクター (そのうちの1人はベトナムの XE Group) が、この脆弱性 CVE-2019-18935 を悪用してパッチ未適用のサーバにアクセスし、リモートからコードを実行したとされる。


この連邦民間行政府 (FCEB) 機関のサーバをハッキングした攻撃者は、その後に C:\Windows\Temp\ folder に悪意のペイロードを展開し、自身で管理する C2 サーバへ向けて情報を流出させた。

侵害された IIS サーバにインストールされたマルウェアは、追加のペイロードを展開し、システム上の痕跡を削除することで検知を回避し、リバースシェルを開いて永続性を維持していたという。

また、その他の機能としては、ローカル・システムの参照や、ファイルのダウンロード/アップロードに加えて、リモートコマンドの実行のためのインターフェースを提供する、ASPX Web シェルのドロップにも対応している。

しかし、アドバイザリには、「悪用されたサービス・アカウントの、書き込み権限が制限されているためと思われるが、ターゲットシステム上でドロップされた Webシェル は確認されていない」と詳述されている。

ハッキングされた Microsoft IIS サーバにインストールされたマルウェアの詳細については、同じく CISA が公開したマルウェア解析レポートに記載されている。また、Telerik UI の脆弱性 CVE-2019-18935 は、NSA の top 25 security bugs abused by Chinese hackers や、FBI の List of Top Targeted Vulnerabilities にも含まれている。

Microsoft IIS サーバは攻撃にさらされ続ける

2021年11月に CISA は、Progress Telerik UI の脆弱性 CVE-2019-18935 を、Known Exploited Vulnerabilities (KEV) Catalogに追加した。

2021年11月に発行された拘束力のある運用指令 (BOD 22-01) によると、連邦機関は CISA の KEV リストに推奨されるアクションを適用する必要があり、2022年5月3日までにパッチを適用する必要があった。しかし、今回の侵害に関連する IOC を分析する限り、米国連邦機関は期限に達するまでに、Microsoft IIS サーバのセキュリティを確保できなかった。

CISA/FBI/MS-ISAC は、この脆弱性を狙う他の攻撃からの保護のために、複数の緩和策を適用することを勧めており、そのハイライトは以下のとおりとなる。

  • Telerik UI ASP.NET AJAX の全インスタンスを、適切なテストの後に、最新バージョンにアップグレードする。
  • Microsoft IIS および リモート PowerShell から生成される、アクティビティ・ログを監視/分析する。
  • サービス・アカウントを、サービスの実行に必要な最小限の権限に制限する。
  • インターネットに接続されているシステムの脆弱性を優先的に修正する。
  • パッチ管理ソリューションを導入し、最新のセキュリティ・パッチの適用を確実に行う。
  • 脆弱性スキャナーが、デバイスと場所を包括的にスキャンするよう設定されていることを確認する。
  • ネットワーク・セグメンテーションを導入し、役割と機能に基づいてネットワーク・セグメントを分離する。

CISA/FBI/MS-ISAC は、「これらの緩和策の適用に加えて、MITRE ATT&CK for Enterprise フレームワークにマッピングされた脅威のアクティビティに対して、組織のセキュリティ・プログラムを演習/試験/検証することを推奨する。本アドバイザリで特定された MITRE ATT&CK 技術に対して、最適なパフォーマンスを確保するために、本番環境でセキュリティ・プログラムを継続的かつ大規模にテストすることを推奨する」と提案している。

この IIS (ASP.NET AJAX) の脆弱性 CVE-2019-18935 を、CISA の KEV で検索してみたところ、たしかに 2021年11月3日に登録されていました。それが、2022年11月〜2023年1月初旬にかけて、ある連邦民間行政府 (FCEB) 機関のネットワークで悪用され、攻撃者がサーバにアクセスしたことが判明したとのことです。つまり、3週間で修正せよという CISA の指示が、守られていなかったことが明らかにされたわけです。脆弱性対応の難しさを感じる出来事です。参考:CISA Malware Analysis Report