駭客還在利用3年前的Telerik UI漏洞以植入Cobalt Strike與挖礦軟體

資安業者Sophos本周警告，今年5月初觀察到針對CVE-2019-18935的新一波攻擊，而這是.NET開發工具Telerik在2019年所修補的遠端程式攻擊漏洞。

CVE-2019-18935位於Telerik UI for ASP.NET AJAX，這是一套用來建置網頁應用程式的元件及主題，內含一些可用來呈現網頁外觀的可程式化物件，然而，該工具中的RadAsyncUpload功能存在著.NET反序列化漏洞，若駭客藉由更古老的CVE-2017-11317或CVE-2017-11357漏洞取得加密金鑰時，就能用來開採CVE-2019-18935，並自遠端執行程式，其CVSS風險評分高達9.8。

事實上，駭客一直沒有放棄開採CVE-2019-18935，它在2020年與2021年都被美國列為最常遭到駭客利用的安全漏洞之一，只是Sophos在今年5月又發現針對該漏洞的新一波攻擊，並用來於受害系統上植入Cobalt Strike與挖礦程式。

新一波的攻擊使用了概念性驗證開採程式，並以滲透測試工具Cobalt Strike作為酬載，由Cobalt Strike負責與位於捷克的命令暨控制（C&C）伺服器通訊，再執行PowerShell命令以下載及執行其它惡意程式。

在Sophos所攔截到的攻擊中，駭客企圖載入門羅幣的挖礦程式XMRig Miner，此外，Sophos也發現駭客於受害系統上進行橫向移動，打算藉由Active Directory的群組原則物件（GPO）建立長駐能力，其攻擊手法類似在2020年開採同一漏洞、植入XMRig Miner挖礦程式，並用多種技術來建立常駐能力的Blue Mockingbird駭客集團。

針對駭客攻擊這類存在多年的安全漏洞，Sophos建議最基本的安全措施就是即時修補連網的產品與元件，也許這些網路應用程式是在很久以前由承包商所建置，但坊間可找到CVE-2019-18935漏洞的掃描工具，也呼籲組織不要小看那些舊有的漏洞，因為它們對駭客來說可能很有用處。