Киберпрестъпници са получили достъп до системите на американска федерална агенция, използвайки уязвимости в разработения в България софтуер на Progress Telerik. Това съобщи The Record, позовавайки се на доклад на Агенцията за киберсигурност и инфраструктура на САЩ (CISA) и ФБР от 15 март.
Сайтът посочва, че хакерите са използвали уязвимост на Progress Telerik (CVE-2019-18935) за достъп до уеб сървъра на Microsoft Internet Information Services на федерална изпълнителна агенция. В материала на The Record не се разкрива уеб сървъра на коя агенция е бил компрометиран, но се посочва, че атаката е започнала през ноември и е продължила до началото на януари тази година.
Според него хакерите са използвали основно уязвимостта CVE-2019-18935, която няколко световни агенции за киберсигурност определиха като една от най-сериозните пропуски в сигурността за периода 2020-2021 г. Бъгът е използван и преди от хакерската група “Praying Mantis”, за която се твърди, че е базирана в Китай.
Според The Record уязвимостта засяга всички версии на софтуера на Progress Telerik, създадени преди 2020 г. Продуктите на българската компания имат няколко други уязвимости, използвани от хакерите, включително CVE-2017-11357, CVE-2017-11317 и CVE-2017-9248, става ясно още от материала.
От CISA твърдят, че основната уязвимост е открита в „по-стари, необработени версии на Telerik, пуснати между 2007 и 2017 г.“. Докладът отбелязва, че няма доказателства, които да потвърдят окончателно дали CVE-2017-11357 или CVE-2017-11317 са били част от атаките.
От бъга в системата е забелязана да се възползва хакерска група, известна с името XE Group, която е извършвала разузнавателни и сканиращи дейности чрез него. Според компанията за киберсигурност Volexity, групата е базирана във Виетнам и друг път се е възползвала от уязвимости в продуктите на Progress Telerik, правейки скиминг на кредитни карти.
“Операциите на XE Group за скимиране на кредитни карти продължават най-малко от началото на 2020 г. Киберпрестъпниците основно се фокусират върху компрометиране на IIS среди и използват техния достъп, за да внедрят JavaScript код за скимиране на кредитни карти на засегнатите уебсайтове” - обясняват от компанията.
Коментари
Моля, регистрирайте се от TУК!
Ако вече имате регистрация, натиснете ТУК!
Няма коментари към тази новина !
Последни коментари