La Unidad de Respuesta a Amenazas (TRU) de eSentire reveló que los actores de amenazas están explotando activamente una vulnerabilidad de IIS de hace seis años en Progress Telerik UI para ASP.NET AJAX para obtener acceso remoto a los sistemas.

Esta vulnerabilidad, identificada como CVE-2019-18935, permite a los atacantes ejecutar código arbitrario en servidores vulnerables, lo que representa un riesgo significativo para las organizaciones que no han actualizado sus sistemas. 

   TRU observó que los actores de amenazas usaban w3wp.exe (proceso de trabajo de IIS) para cargar una shell inversa y ejecutar comandos posteriores para el reconocimiento a través de cmd.exe. Los analistas de ciberseguridad de TRU notaron que los shells inversos se colocaron en el directorio C:\Windows\Temp.

El proceso de explotación comienza cuando los actores de amenazas envían una solicitud específica al servidor IIS para determinar si el controlador de carga de archivos está disponible. Una vez confirmado, utilizan una prueba de concepto (PoC) personalizada para cargar y ejecutar un shell remoto. La shell inversa es un aplicativo .NET en modo mixto que se conecta a un servidor de comando y control (C2) en 213.136.75[.]130 a través de Windows Sockets. 

 Después de establecer la shell inversa, los atacantes ejecutan comandos para recopilar información del sistema, incluida la enumeración de usuarios mediante net.exe y net1.exe. TRU también observó la implementación de la herramienta de escalamiento de privilegios de código abierto JuicyPotatoNG, junto con varios archivos por lotes cuyo propósito se desconoce actualmente.

Fuente: CyberSecurityNews

Vía:
https://blog.segu-info.com.ar/2025/02/aprovechan-vulnerabilidad-de-iis-de.html