Un poder ejecutivo civil de los EE. UU. no identificado ha estado suministrando información de inteligencia a los ciberdelincuentes y a los actores de amenazas patrocinados por el estado durante seis meses, afirma un nuevo informe de las agencias de inteligencia y de aplicación de la ley del país.
A principios de esta semana, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI), así como otras agencias, publicaron un informe conjunto que afirma que los piratas informáticos han tenido acceso ininterrumpido a los sistemas de esta organización desde agosto de 2022 hasta enero de 2023.
Accedieron a la red de destino utilizando múltiples vulnerabilidades descubiertas en programas utilizados por la agencia creada por Progress Telerik, una empresa de desarrollo de software de Bulgaria.
Mantis Religiosa y Grupo XE
La vulnerabilidad clave que se utiliza es CVE-2019-18835, una falla de cuatro años presente en las versiones del software Progress Telerik desde 2020. Puede conducir a la ejecución remota de código cuando se encadena con otras dos vulnerabilidades: CVE-2017-11317 o CVE -2017-11357.
Si bien el informe no nombra actores de amenazas específicos, The Record (se abre en una pestaña nueva) informó que Praying Mantis, un grupo supuestamente con sede en China, es el actor de amenazas más conocido por abusar de este defecto en particular. La misma fuente agrega que también se observó a un actor de amenazas conocido como XE Group usando la falla para ejecutar actividades de reconocimiento y escaneo.
CISA dijo que la falla le dio a los atacantes acceso al servidor web de Microsoft Internet Information Services (IIS) de la agencia, que la organización usó para almacenar varios materiales:
“Este exploit, que da como resultado un acceso interactivo con el servidor web, permitió a los actores de amenazas ejecutar con éxito código remoto en el servidor web vulnerable”, dijo CISA.
Las vulnerabilidades más antiguas suelen ser conocidas y, por lo tanto, los programas antivirus detectan cualquier malware que las utilice. Sin embargo, resulta que las herramientas vulnerables de Progress Telerik se instalaron en lugares donde el software antivirus no escaneaba.
“Este puede ser el caso de muchas instalaciones de software, ya que las rutas de los archivos varían ampliamente según la organización y el método de instalación”, agregó CISA.