Експерти Microsoft Threat Intelligence виявили критичну вразливість у системах, що використовують ASP.NET: кіберзлочинці розпочали масштабну кампанію атак через механізм ViewState, експлуатуючи загальнодоступні машинні ключі. Ця техніка дозволяє зловмисникам успішно впроваджувати шкідливий код на веб-сервери, які використовують стандартні або скопійовані з відкритих джерел ключі validationKey та decryptionKey.
Технічні деталі вразливості ViewState
ViewState є невід’ємною частиною функціоналу ASP.NET Web Forms, що відповідає за збереження стану веб-сторінок між запитами користувача. Зловмисники навчилися створювати шкідливі ViewState-пакети даних, підписуючи їх дійсними машинними ключами, знайденими у публічних репозиторіях коду. Коли такі дані потрапляють на цільовий сервер, вбудовані механізми валідації ASP.NET сприймають їх як легітимні, що відкриває можливості для віддаленого виконання довільного коду.
Масштаби загрози та підтверджені випадки компрометації
За даними дослідження Microsoft, в публічному доступі знаходиться понад 3000 машинних ключів ASP.NET, які потенційно можуть бути використані для проведення атак. Найбільш показовий інцидент стався у грудні 2024 року, коли зловмисники успішно використали загальнодоступний ключ для впровадження фреймворку Godzilla, що дозволило їм виконувати шкідливі команди та встановлювати бекдори на скомпрометованому сервері.
Комплексний підхід до захисту веб-додатків
Для ефективного захисту від атак через ViewState фахівці Microsoft рекомендують впровадити наступні заходи безпеки:
– Генерація унікальних машинних ключів з використанням криптографічно стійких алгоритмів
– Обов’язкове шифрування конфігураційних секцій machineKey та connectionStrings
– Оновлення інфраструктури до ASP.NET 4.8 для отримання захисту через AMSI
– Впровадження комплексних заходів захисту Windows-серверів
У відповідь на виявлену загрозу Microsoft вже видалила приклади ключів зі своєї офіційної документації та опублікувала докладні інструкції щодо безпечної заміни існуючих ключів ASP.NET через PowerShell або IIS Manager. Організаціям наполегливо рекомендується провести аудит своїх систем на предмет використання потенційно скомпрометованих ключів та негайно замінити їх на унікальні. Своєчасне впровадження цих заходів безпеки допоможе значно знизити ризик успішної компрометації веб-додатків через вразливості ViewState.
