米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は3月15日(米国時間)、「Threat Actors Exploit Progress Telerik Vulnerability in U.S. Government IIS Server|CISA」において、米国政府機関のMicrosoft Internet Information Services(IIS)Webサーバが不正侵入を受けたと伝えた。2022年11月から2023年1月初旬にかけて、攻撃者が侵入したことが判明している。

  • Threat Actors Exploit Progress Telerik Vulnerability in U.S. Government IIS Server|CISA

    Threat Actors Exploit Progress Telerik Vulnerability in U.S. Government IIS Server|CISA

持続的標的型攻撃(APT: Advanced Persistent Threat)のアクターを含む複数の脅威者が、Progress Telerikの脆弱性を悪用して米国の行政府機関が使用するMicrosoft IISサーバに侵入していたことが明らかとなった。攻撃者たちは同サーバに侵入するために、Progress Telerik UI for ASP.NET AJAXにある脆弱性「CVE-2019-18935」を悪用したと判断されている。

CVE-2019-18935は共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)スコア値が9.8に分類され、深刻度が緊急(Critical)に位置づけられている重大な脆弱性。この脆弱性が悪用された場合、リモートから悪意のあるコードが実行されてしまう可能性がある。Telerik UI for ASP.NET AJAX R1 2020(2020.1.114)より前のバージョンはこのエクスプロイトに対して脆弱であることが確認されている。

CISAおよび米国連邦調査局(FBI: Federal Bureau of Investigation)、多州間情報共有分析センタ(MS-ISAC: Multi-State Information Sharing and Analysis Center)は共同でサイバーセキュリティアドバイザリを発行し、戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)および悪用を検出してシステムを保護するよう呼びかけている。