A Agência de Segurança Nacional dos EUA (NSA) compartilhou a lista das 25 principais vulnerabilidades exploradas por grupos de hackers patrocinados pelo Estado chinês em ataques na natureza.
A Agência de Segurança Nacional dos EUA (NSA) publicou um relatório que inclui detalhes das 25 principais vulnerabilidades que estão sendo exploradas por grupos APT ligados à China em ataques na natureza.
O conhecimento dessas vulnerabilidades poderia permitir que as equipes de TI e segurança de organizações em todo o mundo protegessem sua infraestrutura contra campanhas de hackers patrocinadas pelo Estado chinês.
O relatório inclui vulnerabilidades bem conhecidas que já foram abordadas por seus fornecedores.
“Este aviso fornece CVEs (Common Vulnerabilities and Exposures, vulnerabilidades e exposições comuns) conhecidos por serem recentemente alavancados ou digitalizados por atores cibernéticos patrocinados pelo Estado chinês para permitir operações de hackers bem-sucedidas contra uma infinidade de redes de vítimas. A maioria das vulnerabilidades listadas abaixo pode ser explorada para obter acesso inicial às redes de vítimas usando produtos que são diretamente acessíveis da Internet e atuam como portais para redes internas.” lê o relatório. “A maioria dos produtos é para acesso remoto (T1133)1 ou para serviços web externos (T1190), e deve ser priorizada para patches imediatos.”
O relatório inclui uma descrição da vulnerabilidade e das atenuações recomendadas.
As façanhas para muitas dessas vulnerabilidades estão disponíveis publicamente e são empregadas por vários atores de ameaças, incluindo hackers ligados à China, em ataques na natureza.
A maioria das vulnerabilidades pode ser explorada para obter acesso inicial às redes de destino, elas afetam sistemas que são diretamente acessíveis da Internet, como firewalls e gateways.
A NSA confirmou que está ciente de que os sistemas de segurança nacional, a base industrial de defesa e as redes do Departamento de Defesa são consistentemente digitalizadas, alvos e exploradas por atores cibernéticos patrocinados pelo Estado chinês. A agência dos EUA recomenda que os proprietários de sistemas críticos abdorem as vulnerabilidades acima para mitigar o risco de perda de informações confidenciais que possam ter um impacto significativo nas políticas, estratégias, planos e vantagem competitiva dos EUA.
Estes incluem:
1) CVE-2019-11510 – Em VPNs Pulse Secure, ® 7 um invasor remoto não autenticado pode enviar um URI especialmente criado para executar uma vulnerabilidade arbitrária de leitura de arquivos. Isso pode levar à exposição de chaves ou senhas.
2) CVE-2020-5902– Em F5 BIG-IP® 8 dispositivos proxy /load balancer, a Interface do Usuário de Gerenciamento de Tráfego (TMUI) – também conhecida como utilitário de configuração – tem uma vulnerabilidade RCE (Remote Code Execution) em páginas não reveladas.
3) CVE-2019-19781 – Um problema foi descoberto no Citrix® 9 Application Delivery Controller (ADC) e no Gateway. Eles permitem a travessia do diretório, o que pode levar à execução remota de código sem credenciais.
4+5+6) CVE-2020-8193, CVE-2020-8195, CVE-2020-8196– Controle de acesso inadequado e validação de entrada, em Citrix® ADC e Citrix® Gateway e Citrix® SDWAN WAN-OP, permite acesso não divulgado a determinados pontos finais de URL e divulgação de informações a usuários privilegiados
7) CVE-2019-0708 (também conhecido como BlueKeep) – Existe uma vulnerabilidade de execução remota de código dentro dos Serviços de Desktop Remoto®10 quando um invasor não autenticado se conecta ao sistema de destino usando RDP e envia solicitações especialmente criadas
8) CVE-2020-15505 – Uma vulnerabilidade de execução remota de código no software MDM (MobileIron®13 mobile device management (MDM) que permite que invasores remotos executem códigos arbitrários e assumam servidores remotos da empresa.
9) CVE-2020-1350 (também conhecido como SIGRed) – Existe uma vulnerabilidade de execução remota de código nos servidores do Sistema de Nomes de Domínio do Windows quando eles não conseguem lidar adequadamente com as solicitações.
10) CVE-2020-1472 (também conhecido como Netlogon) – Existe uma elevação da vulnerabilidade de privilégio quando um invasor estabelece uma conexão de canal segura Netlogon vulnerável a um controlador de domínio usando o Protocolo Remoto Netlogon (MS-NRPC).
11) CVE-2019-1040 – Existe uma vulnerabilidade de adulteração no Microsoft Windows quando um invasor homem no meio é capaz de contornar com sucesso a proteção NTLM MIC (Message Integrity Check).
12) CVE-2018-6789 – Enviar uma mensagem artesanal a um agente de transferência de correio exim pode causar um estouro de buffer. Isso pode ser usado para executar código remotamente e assumir servidores de e-mail.
13) CVE-2020-0688 – Uma vulnerabilidade de execução de código remoto de chave de validação do Microsoft Exchange® existe quando o software falha em manusear adequadamente objetos na memória
14) CVE-2018-4939 – Certas versões do Adobe ColdFusion têm uma deserialização explorável da vulnerabilidade de Dados Não Confiáveis. A exploração bem sucedida pode levar à execução arbitrária de códigos.
15) CVE-2015-4852 – O componente WLS Security no Oracle WebLogic 15 Server permite que atacantes remotos executem comandos arbitrários através de um objeto Java serializado criado
16) CVE-2020-2555 – Existe uma vulnerabilidade no produto Oracle Coherence do Oracle Fusion Middleware. Essa vulnerabilidade facilmente explorável permite que o invasor não autenticado com acesso à rede via T3 comprometa os sistemas Oracle Coherence.
17) CVE-2019-3396– A macro Widget Connector no Servidor Atlassian Confluence 17 permite que os invasores remotos alcancem a execução de códigos transversais e remotos em uma instância do Servidor confluence ou data center por meio de injeção de modelo do lado do servidor.
18) CVE-2019-11580 – Os invasores que podem enviar solicitações para uma instância do Atlassian Crowd ou crowd Data Center podem explorar essa vulnerabilidade para instalar plugins arbitrários, o que permite a execução remota de código.
19) CVE-2020-10189 – O Zoho ManageEngine Desktop Central permite a execução remota de código devido à deserialização de dados não confiáveis.
20) CVE-2019-18935 – Progress Telerik UI for ASP.NET AJAX contém uma vulnerabilidade de desergização .NET. A exploração pode resultar em execução remota de código.
21) CVE-2020-0601 (também conhecido como CurveBall) – Existe uma vulnerabilidade de falsificação na forma como o Windows CryptoAPI (Crypt32.dll) valida certificados de criptografia de curvas elípticas (ECC). Um invasor poderia explorar a vulnerabilidade usando um certificado de assinatura de código falsificado para assinar um executável malicioso, fazendo parecer que o arquivo era de uma fonte confiável e legítima.
22) CVE-2019-0803– Existe uma elevação da vulnerabilidade de privilégios no Windows quando o componente Win32k não consegue manusear corretamente objetos na memória.
23) CVE-2017-6327– O Symantec Messaging Gateway pode encontrar um problema de execução remota de código.
24) CVE-2020-3118 – Uma vulnerabilidade na implementação do Cisco Discovery Protocol para o Cisco IOS XR Software poderia permitir que um invasor adjacente não autenticado execute código arbitrário ou cause uma recarga de um dispositivo afetado.
25) CVE-2020-8515 – Os dispositivos DrayTek Vigor permitem a execução remota de código como raiz (sem autenticação) através de metacaracteres de shell.
FONTE: SECURITY AFFAIRS