美国网络安全和基础设施安全局(CISA)披露了有关Progress Telerik用户界面(UI)中.NET反序列化漏洞(CVE-2019-18935)的信息。
CISA在周三的一份报告中描述了这一发现,称多个网络威胁行为者能够利用这一漏洞,该漏洞还在2022年11月至2023年1月期间影响了联邦民用行政部门(FCEB)机构的微软互联网信息服务(IIS)网络服务器。
如果成功利用该漏洞,则允许远程代码执行(RCE)。正因为如此,该漏洞已被评为关键,并分配了CVSS v3.1得分9.8。
CISA的咨询报告写道:“尽管该机构的漏洞扫描器有针对CVE-2019-18935的适当插件,但由于Telerik UI软件安装在它通常不会扫描的文件路径上,它未能检测到漏洞,这可能是许多软件安装的情况,因为文件路径因组织和安装方法的不同而有很大差异。”
网络安全公司Coro的联合创始人Dror Liwer在评论这一消息时表示,这样的漏洞对攻击者来说是唾手可得的果实。
Liwer解释说:“它们代表了一个简单的、记录良好的入口点,不需要社会工程、强大的技术技能或主动监控。”
根据这位高管的说法,在所有资产中跟上已知的漏洞可能会令人生畏,但组织必须更加关注更新。
Liwer补充道:“没有简单的解决办法。漏洞管理必须是任何网络安全计划的一个组成部分,尽管它可能是乏味和费力的。”
就CVE-2019-18935而言,CISA表示,使用Progress Telerik软件的实体应实施补丁管理解决方案,以确保符合最新的安全补丁。
他们还应该根据运行的服务验证补丁管理和漏洞扫描的输出,以检查任何差异,并将服务帐户限制为必要的最低权限。
在CISA发布这一建议的几周前,SentinelOne公司披露了基于.NET开发平台的新型恶意软件加载程序的相关信息。
