# CVE-2019-18935 > [!critical] Deserialização RCE Crítico no Telerik UI - CISA KEV - APTs e Ransomware > CVE-2019-18935 é uma vulnerabilidade de deserialização .NET crítica no Telerik UI for ASP.NET AJAX explorada ativamente por grupos APT e operadores de ransomware para execução remota de código em aplicações ASP.NET, presente na CISA KEV e com exploits públicos amplamente disponíveis. ## Visão Geral CVE-2019-18935 afeta o Telerik UI for ASP.NET AJAX, um conjunto de controles de interface amplamente utilizado em aplicações ASP.NET corporativas. A vulnerabilidade reside na funcionalidade de upload de arquivos que usa deserialização .NET sem válidação adequada, permitindo que um atacante remoto sem autenticação execute código arbitrário no servidor IIS ao enviar um objeto serializado malicioso. Esta vulnerabilidade foi extensivamente explorada após a divulgação. O grupo APT [[g0114-chimera|Chimera]] (associado a espionagem chinesa) e operadores do ransomware [[s0457-netwalker|Netwalker]] foram documentados usando CVE-2019-18935 como vetor de acesso inicial em campanhas direcionadas. O componente afetado (RadAsyncUpload) é frequentemente integrado em portais corporativos, sistemas de saúde, e plataformas de governo, tornando o alcance da vulnerabilidade amplo. A presença na CISA KEV indica exploração ativa contínua contra instâncias não corrigidas. > [!latam] Relevância para o Brasil > O Telerik UI for ASP.NET é amplamente usado em portais de governo e sistemas corporativos no Brasil construídos em tecnologia Microsoft .NET. Órgãos públicos federais e estaduais com aplicações legadas baseadas em Telerik representam alvos potenciais para grupos que exploram esta vulnerabilidade de forma automatizada e em larga escala. ## Detecção e Defesa - Atualizar Telerik UI for ASP.NET AJAX para R1 2020 (2020.1.114) ou superior — [[m1051-update-software|M1051 Update Software]] - Desabilitar ou restringir o endpoint `Telerik.Web.UI.WebResource.axd` se não utilizado — [[m1042-disable-or-remove-feature-or-program|M1042]] - Implementar regras WAF para bloquear requests malformados ao RadAsyncUpload — [[m1031-network-intrusion-prevention|M1031]] - Monitorar criação de arquivos DLL/EXE em diretórios temporários do IIS — [[t1505-server-software-component|T1505]] - Verificar presença de webshells ASPX em diretórios de upload e temp — [[t1190-exploit-public-facing-application|T1190]] - Revisar logs IIS para requests POST anômalos ao endpoint afetado — [[t1059-command-and-scripting-interpreter|T1059]] ## Referências - [CISA Alert AA21-116A - Telerik Exploitation](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-116a) - [CISA KEV - CVE-2019-18935](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [NVD - CVE-2019-18935](https://nvd.nist.gov/vuln/detail/CVE-2019-18935)