Threat Actors Exploit CVE-2019-18935 to Gain Remote Access and Elevate Privileges
2025/02/04 SecurityOnline — Progress Telerik UI for ASP.NET AJAX に存在する、6年前の脆弱性 CVE-2019-18935 を、脅威アクターたちが積極的に悪用していると、eSentire Threat Response Unit (TRU) が報告している。
この脆弱性の悪用に成功した攻撃者は、脆弱なサーバに悪意のファイルをアップロード/実行し、リモート・アクセスを取得した後に権限を昇格させている。カスタマイズされた PoC エクスプロイトを用いる攻撃者が、リバース・シェルと JuicyPotatoNG 権限昇格ツールを配信していることが、eSentire TRU により確認されている。
TRU のレポートには、「w3wp.exe (IIS ワーカー・プロセス) を悪用する脅威アクターが、リバース・シェルをロードし、cmd.exe を介して偵察用のフォローアップ・コマンドを実行していることを確認した」と記されている。
この攻撃チェーンは、脅威アクターが IIS サーバーにリクエストを送信し、ファイル・アップロード・ハンドラー使用できることを確認するところ始まる。このハンドラーが使用可能であり、ソフトウェア・バージョンが脆弱な場合に、攻撃者は DLL ファイルに偽装したリバース・シェルをアップロードする。このリバース・シェルは Command and Contorol (C2) サーバへの接続を達成し、リモート・コマンド実行の環境を攻撃者に提供する。
リバース・シェルによる通信が確立されると、攻撃者は各種のコマンドを実行し、システムに関する情報を収集して権限を昇格させる。今回の攻撃のケースでは、Windows の脆弱性を悪用する脅威アクターが、権限を SYSTEM レベルへと昇格させる OSS ツール JuicyPotatoNG を使用していることも、TRU は確認している。
このレポートが強調するのは、古くから存在する既知の脆弱性であっても、パッチ適用が重要であるという事実である。Progress Telerik UI for ASP.NET AJAX を使用している組織は、最新バージョンへと速やかに更新し、この脆弱性のリスクを軽減する必要がある。
6年も前の Progress Telerik UI の脆弱性 CVE-2019-18935 の悪用が確認されました。脆弱性の新旧は問わず、脅威アクターたちは、脆弱なシステムやデバイスを狙い続けてきます。よろしければ、以下の記事も、Progress で検索と併せて、ご参照ください。
2024/11/10:Silent Skimmer の復活:支払決済組織ターゲットの手口とは?
2023/03/15:Microsoft IIS の Telerik コンポーネントの脆弱性:米政府機関に被害
IoT OT Security News 
You must be logged in to post a comment.