|
|
返回
新的IPS报警出现了
explanation:
ips-detected:
sig-id:-------------
sig-rev:-
sig-name:Suspicious Telerik UI Request
match-count:1
cve-id:CVE-2019-18935
action-taken:may be blocked in future by the default policy
attack-mode:server
mvx-status:N/A有人尝试利用漏洞CVE-2019-18935攻击。
首先看漏洞解释
CVE - CVE-2019-18935
Progress Telerik UI for http://ASP.NET AJAX through 2019.3.1023 contains a .NET deserialization vulnerability in the RadAsyncUpload function. This is exploitable when the encryption keys are known due to the presence of CVE-2017-11317 or CVE-2017-11357, or other means. Exploitation can result in remote code execution. (As of 2020.1.114, a default setting prevents the exploit. In 2019.3.1023, but not earlier versions, a non-default setting can prevent exploitation.) CVE-2019-18935存在于Telerik UI for http://ASP.NET AJAX,这是一套用来构建网页应用程序的组件及主题,内置一些可用来呈现网页外观的可程序化对象。
Telerik UI工具中的RadAsyncUpload功能存在着.NET反序列化漏洞,如果黑客利用以前的CVE-2017-11317或CVE-2017-11357漏洞取得加密密钥时,就能用CVE-2019-18935执行远程程序。
应该说,这是一个3年前的很古老的漏洞了。
尽管Telerik UI 发布了补丁,但由于Telerik UI 通常是作为一次性定制框架嵌入到web应用程序中,所以很难保证所有的服务器管理员及时的更新补丁,这就给了攻击者可乘之机。
Telerik UI exploitation leads to cryptominer, Cobalt Strike infections
最好的解决办法当然就是打补丁。
Telerik & Kendo UI - .NET Components Suites & JavaScript UI Libraries |
|
发表于 2022-9-21 14:35:34