0
0
Os federais publicaram uma lista top 25 de explorações, repleta de grandes nomes como BlueKeep, Zerologon e outras vulnerabilidades de segurança notórias.
Os ciberatacantes patrocinados pelo Estado chinês estão comprometendo ativamente os alvos dos EUA usando uma série de vulnerabilidades de segurança conhecidas – com uma falha da VPN pulse reivindicando o título duvidoso de “bug mais favorecido” para esses grupos.
Isso de acordo com a Agência Nacional de Segurança (NSA), que divulgou uma lista “top 25” das façanhas que são mais usadas por ameaças persistentes avançadas ligadas à China (APT), que incluem como Cactus Pete, TA413, Vicious Panda e Winniti.
Os federais alertaram em setembro que os atores chineses de ameaças haviam comprometido com sucesso várias entidades governamentais e do setor privado nos últimos meses; a NSA está agora levando o ponto para casa sobre a necessidade de remendar em meio a esta onda de atividade aumentada.
“Muitas dessas vulnerabilidades podem ser usadas para obter acesso inicial às redes de vítimas, explorando produtos que são diretamente acessíveis da internet”, alertou a NSA, em seu comunicadode terça-feira. “Uma vez que um ciberarino tenha estabelecido uma presença em uma rede a partir de uma dessas vulnerabilidades de exploração remota, eles podem usar outras vulnerabilidades para explorar ainda mais a rede por dentro.”
Os APTs – chineses e de outra forma – aumentaram seus esforços de ciberespionagem na esteira da pandemia, bem como na preparação para as eleições dos EUA no próximo mês. Mas Chloé Messdaghi, vice-presidente de estratégia da Point3 Security, observou que essas vulnerabilidades contribuem para uma onda contínua de ataques.
“Definitivamente vimos um aumento nesta situação no ano passado e está em andamento”, disse ela. “Eles estão tentando coletar dados de propriedade intelectual. Os atacantes chineses podem ser de estado-nação, poderiam ser uma empresa ou um grupo de empresas, ou apenas um grupo de atores de ameaça ou um indivíduo tentando obter informações proprietárias para utilizar e construir empresas competitivas… em outras palavras, para roubar e usar para seu próprio ganho.
Pulse Secure, BlueKeep, Zerologon e mais
Muitos insetos conhecidos e infames fizeram o top 25 da NSA cortar. Por exemplo, um notório bug Pulse Secure VPN (CVE-2019-11510) é a primeira falha da lista.
É uma falha arbitrária de leitura de arquivos que abre sistemas para exploração de atacantes remotos e não autenticados. Em abril deste ano, a Agência de Segurança Cibernética e Segurança de Infraestrutura (CISA) do Departamento de Segurança Interna alertou que os invasores estão usando ativamente o problema para roubar senhas para se infiltrar em redes corporativas. E, de fato, este é o bug no coração do fiasco do ransomware Travelex que atingiu em janeiro.
O Pulse Secure emitiu um patch em abril de 2019, mas muitas empresas impactadas pela falha ainda não o aplicaram, alertou a CISA.
Outro grande problema para adversários estrangeiros é uma falha crítica nos dispositivos de balanceador de proxy/carga F5 BIG-IP 8(CVE-2020-5902). Este bug de execução remota de código (RCE) existe na Interface do Usuário de Gerenciamento de Tráfego (TMUI) do dispositivo usado para configuração. Permite o controle completo da máquina hospedeira após a exploração, permitindo interceptação e redirecionamento do tráfego web, descriptografia do tráfego destinado a servidores web e servindo como ponto de partida em outras áreas da rede.
No final de junho, o F5 emitiu patches urgentes do bug, que tem um escore de gravidade cvss de 10 em 10 “devido à sua falta de complexidade, facilidade de vetor de ataque e altos impactos à confidencialidade, integridade e disponibilidade”, disseram os pesquisadores na época. Milhares de dispositivos mostraram-se vulneráveis em uma busca de Shodan em julho.
A NSA também sinalizou várias vulnerabilidades em Citrix como sendo faves chineses, incluindo CVE-2019-19781, que foi revelado na última temporada de férias. O bug existe no Citrix Application Delivery Controller (ADC) e no Gateway, um aparelho de rede construído com propósito destinado a melhorar o desempenho e a segurança dos aplicativos entregues pela web. Uma exploração pode levar ao RCE sem credenciais.
Quando foi originalmente divulgada em dezembro, a vulnerabilidade não tinha um patch, e a Citrix teve que lutar para empurrar correções para fora – mas não antes do código de exploração de prova de conceito público (PoC) emergir, juntamente com explorações ativas e atividade de digitalização em massa para os produtos Citrix vulneráveis.
Outros bugs citrix na lista incluem CVE-2020-8193, CVE-2020-8195 e CVE-2020-8196.
Enquanto isso, os bugs da Microsoft estão bem representados, incluindo o bug BlueKeep RCE em Remote Desktop Services (RDP), que ainda está sob ataque ativo um ano após a divulgação. O bug rastreado como CVE-2019-0708 pode ser explorado por um invasor não autenticado que se conecta ao sistema de destino usando RDP, para enviar solicitações especialmente trabalhadas e executar código. O problema com a BlueKeep é que os pesquisadores acreditam que ele pode ser wormable, o que poderia levar a um desastre no nível do WannaCry, disseram eles.
Outro bug com um nome na lista é o Zerologon, a vulnerabilidade de escalada de privilégios que permite que um invasor não autenticado com acesso à rede a um controlador de domínio comprometa completamente todos os serviços de identidade do Active Directory. Foi corrigido em agosto, mas muitas organizações permanecem vulneráveis, e o DHS recentemente emitiu um aviso terrível sobre o bug em meio a um tsunami de ataques.
O primeiro bug já relatado à Microsoft pela NSA, CVE-2020-0601, também está sendo favorecido por atores chineses. Essa vulnerabilidade de falsificação, corrigida em janeiro, existe na forma como o Windows CryptoAPI (Crypt32.dll) valida os certificados ECC (Elliptic Curve Cryptography, criptografia de curvas elípticas). Um invasor poderia explorar a vulnerabilidade usando um certificado de assinatura de código falsificado para assinar um executável malicioso, fazendo parecer que o arquivo era de uma fonte confiável e legítima.
Duas explorações de prova de conceito (PoC) foram lançadas publicamente apenas uma semana depois que o boletim de segurança de janeiro da Microsoft Patch Tuesday abordou a falha.
Em seguida, há um bug RCE de validação de alto perfil do Microsoft Exchange (CVE-2020-0688), que decorre da falha do servidor em criar chaves exclusivas na hora da instalação.
Ele foi corrigido como parte das atualizações de fevereiro do Patch Tuesday da Microsoft – e os administradores em março foram avisados de que servidores não corrigidos estão sendo explorados na natureza por atores de ameaça persistente avançada (APT) não nomeados. Mas, em 30 de setembro, pelo menos 61% dos servidores do Exchange 2010, 2013, 2016 e 2019 ainda estavam vulneráveis à falha.
O Melhor do Resto
A lista top 25 da NSA cobre muito terreno, incluindo um bug RCE quase onipresente (CVE-2019-1040) que, quando divulgado no ano passado, afetou todas as versões do Windows. Ele permite que um invasor homem no meio contorne a proteção ntlm message integrity check.
- CVE-2018-4939 em certas versões do Adobe ColdFusion.
- CVE-2020-2555 no produto Oracle Coherence no Oracle Fusion Middleware.
- CVE-2019-3396 na macro Widget Connector no Atlassian Confluence Server
- CVE-2019-11580 em Atlassian Crowd ou Crowd Data Center
- CVE-2020-10189 no Zoho ManageEngine Desktop Central
- CVE-2019-18935 em Progress Telerik UI para ASP.NET AJAX.
- CVE-2019-0803 no Windows, um problema de escalada de privilégios no componente Win32k
- CVE-2020-3118 na implementação do Cisco Discovery Protocol para Software Cisco IOS XR
- CVE-2020-8515 em dispositivos DrayTek Vigor
A assessoria também abrange três bugs mais antigos, na transferência de correio exim (CVE-2018-6789); Gateway de Mensagens Symantec (CVE-2017-6327); e o componente de segurança WLS no Oracle WebLogic Server (CVE-2015-4852).
“Ouvimos alto e claro que pode ser difícil priorizar os esforços de patches e mitigação”, disse a diretora de segurança cibernética da NSA, Anne Neuberger, em comunicado à imprensa. “Esperamos que, ao destacar as vulnerabilidades que a China está usando ativamente para comprometer sistemas, os profissionais de cibersegurança obtenham informações acionáveis para priorizar esforços e proteger seus sistemas.”
FONTE: THREATPOST