美国网络安全和基础设施安全局(CISA)披露了有关ASP.NET AJAX的Progress Telerik用户界面(UI)的.NET反序列化漏洞(CVE-2019-18935)的信息。
CISA在周三的一份公告中描述了这一发现,称多个网络威胁者能够利用这一漏洞,该漏洞在2022年11月至2023年1月期间还影响了一个联邦民事行政部门(FCEB)机构的微软互联网信息服务(IIS)网络服务器。
如果利用成功,该漏洞允许远程代码执行(RCE)。正因为如此,该漏洞被评为关键性漏洞,并被赋予CVSS v3.1的9.8分。
"尽管该机构的漏洞扫描器有CVE-2019-18935的适当插件,但由于Telerik UI软件被安装在它通常不扫描的文件路径中,它未能检测到该漏洞,"CISA公告中写道。"这可能是许多软件安装的情况,因为文件路径因组织和安装方法不同而大不相同。"
网络安全公司Coro的联合创始人Dror Liwer在评论这一消息时说,像这样的漏洞对攻击者来说是一种 "低垂的水果"。
"Liwer解释说:"它们代表了一个简单的、有据可查的切入点,不需要社会工程、强大的技术能力或主动监控。
据这位高管称,跟上所有资产的已知漏洞可能是令人生畏的,但企业必须更加关注更新。
"没有简单的解决办法。漏洞管理必须是任何网络安全计划的一个组成部分,尽管它可能是乏味和费力的,"Liwer补充说。
就CVE-2019-18935而言,CISA表示,使用Progress Telerik软件的实体应该实施一个补丁管理解决方案,以确保符合最新的安全补丁。
他们还应该根据运行中的服务验证补丁管理和漏洞扫描的输出,以检查任何差异,并将服务账户限制在必要的最低权限。
在SentinelOne公司披露与基于.NET开发平台的新恶意软件加载器有关的信息数周后,CISA发出了警告。