脅威アクターが米国政府のIISサーバーのProgressTelerikの脆弱性を悪用
From November 2022 through early January 2023, the Cybersecurity and Infrastructure Security Agency (CISA) and authoring organizations identified the presence of indicators of compromise (IOCs) at a federal civilian executive branch (FCEB) agency. Analysts determined that multiple cyber threat actors, including an APT actor, were able to exploit a .NET deserialization vulnerability (CVE-2019-18935) in Progress Telerik user interface (UI) for ASP.NET AJAX, located in the agency’s Microsoft Internet Information Services (IIS) web server. Successful exploitation of this vulnerability allows for remote code execution. According to Progress Software, Telerik UI for ASP.NET AJAX builds before R1 2020 (2020.1.114) are vulnerable to this exploit.[1]
2022年11月から2023年1月初旬にかけて、サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)とオーサリング組織は、連邦文民行政機関(FCEB)機関に侵害の兆候(IOC)が存在することを確認しました。アナリストは、APTアクターを含む複数のサイバー脅威アクターが、代理店のMicrosoft インターネットインフォメーションサービス(IIS)Webサーバーにある ASP.NET AJAXのProgressTelerikユーザーインターフェイス(UI)の.NET逆シリアル化の脆弱性(CVE-1-2020)を悪用できる状態であったと判断しました。この脆弱性の悪用に成功すると、リモートでコードが実行される可能性があります。プログレスソフトウェアによると、R1 2020 (2020.1.114) より前の ASP.NET AJAXビルド用のTelerikUIはこのエクスプロイトに対して脆弱です。[1] Threat Actors Exploit Progress Telerik Vulnerability in U.S. Government IIS Server | CISA
