La Unidad de Respuesta a Amenazas (TRU) de eSentire reveló que los actores de
amenazas están explotando activamente una vulnerabilidad de IIS de hace
seis años en Progress Telerik UI para ASP.NET AJAX para obtener acceso remoto
a los sistemas.
Esta vulnerabilidad, identificada como
CVE-2019-18935, permite a los atacantes ejecutar código arbitrario en servidores
vulnerables, lo que representa un riesgo significativo para las organizaciones
que no han actualizado sus sistemas.
.webp)
TRU observó que los actores de amenazas usaban w3wp.exe (proceso de
trabajo de IIS) para cargar una shell inversa y ejecutar comandos
posteriores para el reconocimiento a través de cmd.exe. Los analistas de
ciberseguridad de TRU notaron que los shells inversos se colocaron en el
directorio C:\Windows\Temp.
El proceso de explotación comienza cuando los actores de amenazas envían una
solicitud específica al servidor IIS para determinar si el controlador de
carga de archivos está disponible. Una vez confirmado, utilizan una prueba de
concepto (PoC) personalizada para cargar y ejecutar un shell remoto. La
shell inversa es un aplicativo .NET en modo mixto que se conecta a un
servidor de comando y control (C2) en 213.136.75[.]130 a través de
Windows Sockets.
Después de establecer la shell inversa, los atacantes ejecutan comandos
para recopilar información del sistema, incluida la enumeración de usuarios
mediante net.exe y net1.exe. TRU también observó la
implementación de la herramienta de escalamiento de privilegios de código
abierto
JuicyPotatoNG, junto con varios archivos por lotes cuyo propósito se desconoce
actualmente.
Fuente:
CyberSecurityNews