Een Amerikaanse overheidsinstantie is via een drie jaar oude kwetsbaarheid in Telerik UI door meerdere aanvallers gecompromitteerd, waaronder een spionagegroep. De instantie scande systemen wel op kwetsbaarheden, maar de Telerik-installatie bevond zich in een locatie die niet werd gescand, waardoor het beveiligingslek niet werd opgemerkt. Dat meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.
Progress Telerik UI maakt het mogelijk om gebruikersinterface-elementen aan websites en webapplicaties toe te voegen. Een kwetsbaarheid in de software, aangeduid als CVE-2019-18935, maakt het mogelijk voor aanvallers om willekeurige code uit te voeren op de IIS-webserver waarop Telerik UI is geïnstalleerd. Het probleem, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, werd in december 2019 door Telerik via een beveiligingsupdate verholpen. Toch zijn er nog altijd kwetsbare installaties te vinden.
Dit was onder ander het geval bij de niet nader genoemde Amerikaanse overheidsinstantie. Die had een kwetsbare versie van Telerik UI draaien. De instantie maakte gebruik van een vulnerability scanner voor het vinden van kwetsbare software. De scanner detecteerde het beveiligingslek echter niet, omdat Telerik UI in een locatie was geïnstalleerd die het standaard niet controleert.
Meerdere aanvallers wisten de server in 2021 en 2022 via het Telerik-lek te compromitteren, waaronder een spionagegroep en een groep cybercriminelen. Het CISA doet naar aanleiding van de aanval verschillende aanbevelingen, waaronder het updaten van Telerik-installaties en het goed configureren van vulnerability scanners.
Deze posting is gelocked. Reageren is niet meer mogelijk.