NSA detalha as 25 principais falhas exploradas por hackers ligados à China

Views: 117
0 0
Read Time:5 Minute, 57 Second

A Agência de Segurança Nacional dos EUA (NSA) compartilhou a lista das 25 principais vulnerabilidades exploradas por grupos de hackers patrocinados pelo Estado chinês em ataques na natureza.

A Agência de Segurança Nacional dos EUA (NSA) publicou um relatório que inclui detalhes das 25 principais vulnerabilidades que estão sendo exploradas por grupos APT ligados à China em ataques na natureza.

O conhecimento dessas vulnerabilidades poderia permitir que as equipes de TI e segurança de organizações em todo o mundo protegessem sua infraestrutura contra campanhas de hackers patrocinadas pelo Estado chinês.

O relatório inclui vulnerabilidades bem conhecidas que já foram abordadas por seus fornecedores.

“Este aviso fornece CVEs (Common Vulnerabilities and Exposures, vulnerabilidades e exposições comuns) conhecidos por serem recentemente alavancados ou digitalizados por atores cibernéticos patrocinados pelo Estado chinês para permitir operações de hackers bem-sucedidas contra uma infinidade de redes de vítimas. A maioria das vulnerabilidades listadas abaixo pode ser explorada para obter acesso inicial às redes de vítimas usando produtos que são diretamente acessíveis da Internet e atuam como portais para redes internas.”  o relatório. “A maioria dos produtos é para acesso remoto (T1133)1 ou para serviços web externos (T1190), e deve ser priorizada para patches imediatos.”

O relatório inclui uma descrição da vulnerabilidade e das atenuações recomendadas.

As façanhas para muitas dessas vulnerabilidades estão disponíveis publicamente e são empregadas por vários atores de ameaças, incluindo hackers ligados à China, em ataques na natureza.

A maioria das vulnerabilidades pode ser explorada para obter acesso inicial às redes de destino, elas afetam sistemas que são diretamente acessíveis da Internet, como firewalls e gateways.

A NSA confirmou que está ciente de que os sistemas de segurança nacional, a base industrial de defesa e as redes do Departamento de Defesa são consistentemente digitalizadas, alvos e exploradas por atores cibernéticos patrocinados pelo Estado chinês. A agência dos EUA recomenda que os proprietários de sistemas críticos abdorem as vulnerabilidades acima para mitigar o risco de perda de informações confidenciais que possam ter um impacto significativo nas políticas, estratégias, planos e vantagem competitiva dos EUA.

Estes incluem:

1) CVE-2019-11510 – Em VPNs Pulse Secure, ® 7 um invasor remoto não autenticado pode enviar um URI especialmente criado para executar uma vulnerabilidade arbitrária de leitura de arquivos. Isso pode levar à exposição de chaves ou senhas.

2) CVE-2020-5902– Em F5 BIG-IP® 8 dispositivos proxy /load balancer, a Interface do Usuário de Gerenciamento de Tráfego (TMUI) – também conhecida como utilitário de configuração – tem uma vulnerabilidade RCE (Remote Code Execution) em páginas não reveladas.

3) CVE-2019-19781 – Um problema foi descoberto no Citrix® 9 Application Delivery Controller (ADC) e no Gateway. Eles permitem a travessia do diretório, o que pode levar à execução remota de código sem credenciais.

4+5+6) CVE-2020-8193CVE-2020-8195CVE-2020-8196– Controle de acesso inadequado e validação de entrada, em Citrix® ADC e Citrix® Gateway e Citrix® SDWAN WAN-OP, permite acesso não divulgado a determinados pontos finais de URL e divulgação de informações a usuários privilegiados

7) CVE-2019-0708 (também conhecido como BlueKeep) – Existe uma vulnerabilidade de execução remota de código dentro dos Serviços de Desktop Remoto®10 quando um invasor não autenticado se conecta ao sistema de destino usando RDP e envia solicitações especialmente criadas

8) CVE-2020-15505 – Uma vulnerabilidade de execução remota de código no software MDM (MobileIron®13 mobile device management (MDM) que permite que invasores remotos executem códigos arbitrários e assumam servidores remotos da empresa.

9) CVE-2020-1350 (também conhecido como SIGRed– Existe uma vulnerabilidade de execução remota de código nos servidores do Sistema de Nomes de Domínio do Windows quando eles não conseguem lidar adequadamente com as solicitações.

10) CVE-2020-1472 (também conhecido como Netlogon) – Existe uma elevação da vulnerabilidade de privilégio quando um invasor estabelece uma conexão de canal segura Netlogon vulnerável a um controlador de domínio usando o Protocolo Remoto Netlogon (MS-NRPC).

11) CVE-2019-1040 – Existe uma vulnerabilidade de adulteração no Microsoft Windows quando um invasor homem no meio é capaz de contornar com sucesso a proteção NTLM MIC (Message Integrity Check).

12) CVE-2018-6789 – Enviar uma mensagem artesanal a um agente de transferência de correio exim pode causar um estouro de buffer. Isso pode ser usado para executar código remotamente e assumir servidores de e-mail.

13) CVE-2020-0688 – Uma vulnerabilidade de execução de código remoto de chave de validação do Microsoft Exchange® existe quando o software falha em manusear adequadamente objetos na memória

14) CVE-2018-4939 – Certas versões do Adobe ColdFusion têm uma deserialização explorável da vulnerabilidade de Dados Não Confiáveis. A exploração bem sucedida pode levar à execução arbitrária de códigos.

15) CVE-2015-4852 – O componente WLS Security no Oracle WebLogic 15 Server permite que atacantes remotos executem comandos arbitrários através de um objeto Java serializado criado

16) CVE-2020-2555 – Existe uma vulnerabilidade no produto Oracle Coherence do Oracle Fusion Middleware. Essa vulnerabilidade facilmente explorável permite que o invasor não autenticado com acesso à rede via T3 comprometa os sistemas Oracle Coherence.

17) CVE-2019-3396– A macro Widget Connector no Servidor Atlassian Confluence 17 permite que os invasores remotos alcancem a execução de códigos transversais e remotos em uma instância do Servidor confluence ou data center por meio de injeção de modelo do lado do servidor.

18) CVE-2019-11580 – Os invasores que podem enviar solicitações para uma instância do Atlassian Crowd ou crowd Data Center podem explorar essa vulnerabilidade para instalar plugins arbitrários, o que permite a execução remota de código.

19) CVE-2020-10189 – O Zoho ManageEngine Desktop Central permite a execução remota de código devido à deserialização de dados não confiáveis.

20) CVE-2019-18935 – Progress Telerik UI for ASP.NET AJAX contém uma vulnerabilidade de desergização .NET. A exploração pode resultar em execução remota de código.

21) CVE-2020-0601 (também conhecido como CurveBall) – Existe uma vulnerabilidade de falsificação na forma como o Windows CryptoAPI (Crypt32.dll) valida certificados de criptografia de curvas elípticas (ECC). Um invasor poderia explorar a vulnerabilidade usando um certificado de assinatura de código falsificado para assinar um executável malicioso, fazendo parecer que o arquivo era de uma fonte confiável e legítima.

22) CVE-2019-0803– Existe uma elevação da vulnerabilidade de privilégios no Windows quando o componente Win32k não consegue manusear corretamente objetos na memória.

23) CVE-2017-6327– O Symantec Messaging Gateway pode encontrar um problema de execução remota de código.

24) CVE-2020-3118 – Uma vulnerabilidade na implementação do Cisco Discovery Protocol para o Cisco IOS XR Software poderia permitir que um invasor adjacente não autenticado execute código arbitrário ou cause uma recarga de um dispositivo afetado.

25) CVE-2020-8515 – Os dispositivos DrayTek Vigor permitem a execução remota de código como raiz (sem autenticação) através de metacaracteres de shell.

FONTE: SECURITY AFFAIRS

Previous post Patches VMware, entre outras coisas, falha do ESXi que pode ser abusada por erros na rede para sequestrar hosts
Next post Adobe lança atualizações de segurança para 10 produtos

Deixe um comentário