Een kwetsbaarheid in de software Telerik UI wordt op het moment actief gebruikt om organisaties met een cryptominer te infecteren. Dat stelt securitybedrijf Red Canary. Via Telerik UI kunnen gebruikersinterface-elementen aan websites en webapplicaties worden toegevoegd.

Een kwetsbaarheid in de software maakt het mogelijk voor aanvallers om willekeurige bestanden naar de IIS-webserver te uploaden. Zodra de aanvallers toegang tot de server hebben gekregen proberen ze hun rechten te verhogen. Vervolgens wordt er vanaf de besmette webserver geprobeerd om systemen in het bedrijfsnetwerk aan te vallen. Hiervoor maken de aanvallers gebruik van het Remote Desktop Protocol (RDP).

Lukt het om via RDP met de bedrijfscomputers verbinding te maken dan installeren de aanvallers een cryptominer die de rekenkracht van de machine gebruikt voor het delven van de cryptovaluta Monero. Vorige week waarschuwde het Australische Cyber Security Centre (ACSC) nog dat het verschillende incidenten had onderzocht waarbij de aanvallers via het Telerik UI-lek waren binnengekomen. In april liet de Amerikaanse geheime dienst NSA nog weten dat de kwetsbaarheid zeer populair was onder aanvallers om webservers te compromitteren.

Sinds december vorig jaar is er een beveiligingsupdate beschikbaar die de kwetsbaarheid verhelpt. Het Canadese Centre for Cyber Security waarschuwde vorig jaar nog voor actief misbruik van drie andere kwetsbaarheden in Telerik UI die in combinatie met het nieuwe beveiligingslek worden gebruikt. Daarbij liet de Canadese overheidsinstantie weten dat Telerik soms als third-party onderdeel wordt geïnstalleerd, waardoor beheerders niet altijd weten dat het aanwezig is. Beheerders moeten dan ook handmatig naar de aanwezigheid van het bestand Telerik.Web.UI.dll zoeken. Het ACSC gaf in maart nog een zelfde advies.