АНБ: 25 основных уязвимостей, которыми активно используют китайские хакеры
Агентство национальной безопасности США (АНБ) предупреждает, что спонсируемые государством китайские хакеры используют 25 различных уязвимостей при атаках на организации и интересы США.
В опубликованном сегодня сообщении АНБ сообщило, что ему известно о целевых атаках спонсируемых государством китайских хакеров на системы национальной безопасности (NSS), промышленную базу обороны США (DIB) и информационные сети Министерства обороны (DoD).
В рамках этих атак АНБ обнаружило, что двадцать пять публично раскрытых уязвимостей использовались для получения доступа к сетям, развертывания вредоносных мобильных приложений и распространения в системе, в то время как злоумышленники воруют конфиденциальные данные.
АНБ рекомендует всем организациям немедленно устанавливать исправления на уязвимые устройства для защиты от кибератак, ведущих к краже данных, банковскому мошенничеству и атакам программ-вымогателей.
Уязвимости, используемые на разных этапах атаки
АНБ разделило уязвимости на разные категории, чтобы проиллюстрировать, как они используются в кибератаках.
Exploit secure remote access:
CVE-2019-11510 - уязвимости Pulse Secure VPN, которые позволяют неаутентифицированному злоумышленнику получить доступ к учетным данным VPN.
CVE-2020-5902 - уязвимость прокси-сервера / балансировщика нагрузки F5 BIG-IP® 8, связанная с удаленным выполнением кода.
CVE-2019-19781 - уязвимость Citrix Application Delivery Controller (ADC) и обхода каталогов шлюза, которая может привести к удаленному выполнению кода без учетных данных.
CVE-2020-8193 - Уязвимость Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP позволяет получить доступ без аутентификации к определенным конечным точкам URL и раскрытие информации пользователям с низким уровнем привилегий.
CVE-2020-8195 - Уязвимость Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP позволяет получить доступ без аутентификации к определенным конечным точкам URL и раскрытие информации пользователям с низким уровнем привилегий
CVE-2020-8196 - Уязвимость Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP обеспечивает неаутентифицированный доступ к определенным конечным точкам URL и раскрытие информации пользователям с низким уровнем привилегий
CVE-2019-0708 - уязвимость службы удаленного рабочего стола Windows BlueKeep позволяет пользователям, не прошедшим проверку подлинности, выполнять удаленное выполнение кода.
Exploit Mobile Device Management (MDM):
компрометируя серверы MDM, злоумышленники могут внедрять вредоносные мобильные приложения или изменять конфигурации устройств, которые отправляют трафик через прокси-серверы или узлы, контролируемые злоумышленником.
CVE-2020-15505 - уязвимость удаленного выполнения кода в системе управления мобильными устройствами MobileIron 13 (MDM).
Exploit Active Directory for Lateral Movement and Credential Access:
CVE-2020-1472 - критическая уязвимость 10/10 Windows ZeroLogon Netlogon, связанная с повышением привилегий, позволяет злоумышленникам быстро получить доступ к учетным данным администратора домена на контроллере домена. Оттуда они могут собирать конфиденциальные данные или развертывать вредоносное ПО, например программы-вымогатели.
CVE-2019-1040 - уязвимость Windows NTLM позволяет злоумышленникам снизить встроенную безопасность операционной системы Windows.
Exploit public-facing servers:
Использовать общедоступные серверы: злоумышленники используют эти уязвимости для обхода аутентификации на веб-серверах, почтовых серверах или DNS для удаленного выполнения команд во внутренней сети. В случае скомпрометированных веб-серверов злоумышленники могут использовать их для атак с целью нацеливания на будущих посетителей.
CVE-2020-1350 - Уязвимость SigRed DNS-сервера Windows позволяет злоумышленникам распространяться через сеть.
CVE-2018-6789 - уязвимость почтового сервера Exim позволяет удаленное выполнение кода без аутентификации.
CVE-2018-4939 - уязвимость Adobe ColdFusion 14, которая может привести к выполнению произвольного кода.
Exploit internal servers:
эти уязвимости используются для латерального распространения по сети и получения доступа к внутренним серверам, где злоумышленники могут украсть ценные данные.
CVE-2020-0688 - уязвимость Microsoft Exchange, которая позволяет пользователям, прошедшим проверку подлинности, выполнять удаленное выполнение кода.
CVE-2015-4852 - Компонент WLS Security в Oracle WebLogic15 Server позволяет удаленным злоумышленникам выполнять произвольные команды через созданный сериализованный объект Java16.
CVE-2020-2555 - в продукте Oracle® Coherence промежуточного программного обеспечения Oracle Fusion® существует уязвимость. Этот легко эксплуатируемый
CVE-2019-3396 - В соединителе виджетов на серверах Atlassian Confluence присутствует уязвимость серверного внедрения шаблона, которая позволяет удаленным злоумышленникам выполнять удаленное выполнение кода и обход пути.
CVE-2019-11580 - злоумышленники, которые могут отправлять запросы к экземпляру Atlassian® Crowd или Crowd Data Center, могут использовать эту уязвимость для установки произвольных подключаемых модулей, разрешающих удаленное выполнение кода. Эта уязвимость использовалась в атаках вымогателей GandCrab в прошлом.
CVE-2020-10189 - уязвимость Zoho ManageEngine 18 Desktop Central делает возможным удаленное выполнение кода. Этот баг использовался в атаках на развертывание бэкдоров.
CVE-2019-18935 - Уязвимость в пользовательском интерфейсе Telerik 19 для ASP.NET AJAX может привести к удаленному выполнению кода. Было замечено, что он использовался хакерской группой под названием «Blue Mockingbird» для установки майнеров Monero на уязвимых серверах, но также мог использоваться и для бокового распространения.
Exploit user work workstations for local privilege escalation:
когда злоумышленник получает доступ к рабочей станции, его конечной целью является получение учетных данных или прав администратора. Используя эти уязвимости, хакер может повысить свои привилегии до СИСТЕМНЫХ или административных.
CVE-2020-0601 - Уязвимость Windows CryptoAPI Spoofing, обнаруженная АНБ, позволяет злоумышленникам подделывать сертификаты для подписи кода, чтобы вредоносные исполняемые файлы выглядели подписанными законной доверенной компанией.
CVE-2019-0803 - В Windows® существует уязвимость, приводящая к несанкционированному получению прав, когда компонент Win32k не может должным образом обрабатывать объекты в памяти.
Exploit network devices:
эта последняя группа уязвимостей позволяет злоумышленникам отслеживать и изменять сетевой трафик по мере его прохождения через устройство.
CVE-2017-6327 - Symantec 22 Messaging Gateway может столкнуться с проблемой удаленного выполнения кода.
CVE-2020-3118 - уязвимость Cisco "CDPwn" в реализации протокола Cisco Discovery для программного обеспечения Cisco IOS 23 XR делает возможным удаленное выполнение кода.
CVE-2020-8515 - устройства DrayTek Vigor 24 позволяют удаленное выполнение кода от имени пользователя root (без аутентификации) через метасимволы оболочки
https://www.bleepingcomputer.com/news/security/nsa-top-25-vulnerabilities-actively-abused-by-chinese-hackers/
В опубликованном сегодня сообщении АНБ сообщило, что ему известно о целевых атаках спонсируемых государством китайских хакеров на системы национальной безопасности (NSS), промышленную базу обороны США (DIB) и информационные сети Министерства обороны (DoD).
В рамках этих атак АНБ обнаружило, что двадцать пять публично раскрытых уязвимостей использовались для получения доступа к сетям, развертывания вредоносных мобильных приложений и распространения в системе, в то время как злоумышленники воруют конфиденциальные данные.
АНБ рекомендует всем организациям немедленно устанавливать исправления на уязвимые устройства для защиты от кибератак, ведущих к краже данных, банковскому мошенничеству и атакам программ-вымогателей.
Уязвимости, используемые на разных этапах атаки
АНБ разделило уязвимости на разные категории, чтобы проиллюстрировать, как они используются в кибератаках.
Exploit secure remote access:
CVE-2019-11510 - уязвимости Pulse Secure VPN, которые позволяют неаутентифицированному злоумышленнику получить доступ к учетным данным VPN.
CVE-2020-5902 - уязвимость прокси-сервера / балансировщика нагрузки F5 BIG-IP® 8, связанная с удаленным выполнением кода.
CVE-2019-19781 - уязвимость Citrix Application Delivery Controller (ADC) и обхода каталогов шлюза, которая может привести к удаленному выполнению кода без учетных данных.
CVE-2020-8193 - Уязвимость Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP позволяет получить доступ без аутентификации к определенным конечным точкам URL и раскрытие информации пользователям с низким уровнем привилегий.
CVE-2020-8195 - Уязвимость Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP позволяет получить доступ без аутентификации к определенным конечным точкам URL и раскрытие информации пользователям с низким уровнем привилегий
CVE-2020-8196 - Уязвимость Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP обеспечивает неаутентифицированный доступ к определенным конечным точкам URL и раскрытие информации пользователям с низким уровнем привилегий
CVE-2019-0708 - уязвимость службы удаленного рабочего стола Windows BlueKeep позволяет пользователям, не прошедшим проверку подлинности, выполнять удаленное выполнение кода.
Exploit Mobile Device Management (MDM):
компрометируя серверы MDM, злоумышленники могут внедрять вредоносные мобильные приложения или изменять конфигурации устройств, которые отправляют трафик через прокси-серверы или узлы, контролируемые злоумышленником.
CVE-2020-15505 - уязвимость удаленного выполнения кода в системе управления мобильными устройствами MobileIron 13 (MDM).
Exploit Active Directory for Lateral Movement and Credential Access:
CVE-2020-1472 - критическая уязвимость 10/10 Windows ZeroLogon Netlogon, связанная с повышением привилегий, позволяет злоумышленникам быстро получить доступ к учетным данным администратора домена на контроллере домена. Оттуда они могут собирать конфиденциальные данные или развертывать вредоносное ПО, например программы-вымогатели.
CVE-2019-1040 - уязвимость Windows NTLM позволяет злоумышленникам снизить встроенную безопасность операционной системы Windows.
Exploit public-facing servers:
Использовать общедоступные серверы: злоумышленники используют эти уязвимости для обхода аутентификации на веб-серверах, почтовых серверах или DNS для удаленного выполнения команд во внутренней сети. В случае скомпрометированных веб-серверов злоумышленники могут использовать их для атак с целью нацеливания на будущих посетителей.
CVE-2020-1350 - Уязвимость SigRed DNS-сервера Windows позволяет злоумышленникам распространяться через сеть.
CVE-2018-6789 - уязвимость почтового сервера Exim позволяет удаленное выполнение кода без аутентификации.
CVE-2018-4939 - уязвимость Adobe ColdFusion 14, которая может привести к выполнению произвольного кода.
Exploit internal servers:
эти уязвимости используются для латерального распространения по сети и получения доступа к внутренним серверам, где злоумышленники могут украсть ценные данные.
CVE-2020-0688 - уязвимость Microsoft Exchange, которая позволяет пользователям, прошедшим проверку подлинности, выполнять удаленное выполнение кода.
CVE-2015-4852 - Компонент WLS Security в Oracle WebLogic15 Server позволяет удаленным злоумышленникам выполнять произвольные команды через созданный сериализованный объект Java16.
CVE-2020-2555 - в продукте Oracle® Coherence промежуточного программного обеспечения Oracle Fusion® существует уязвимость. Этот легко эксплуатируемый
CVE-2019-3396 - В соединителе виджетов на серверах Atlassian Confluence присутствует уязвимость серверного внедрения шаблона, которая позволяет удаленным злоумышленникам выполнять удаленное выполнение кода и обход пути.
CVE-2019-11580 - злоумышленники, которые могут отправлять запросы к экземпляру Atlassian® Crowd или Crowd Data Center, могут использовать эту уязвимость для установки произвольных подключаемых модулей, разрешающих удаленное выполнение кода. Эта уязвимость использовалась в атаках вымогателей GandCrab в прошлом.
CVE-2020-10189 - уязвимость Zoho ManageEngine 18 Desktop Central делает возможным удаленное выполнение кода. Этот баг использовался в атаках на развертывание бэкдоров.
CVE-2019-18935 - Уязвимость в пользовательском интерфейсе Telerik 19 для ASP.NET AJAX может привести к удаленному выполнению кода. Было замечено, что он использовался хакерской группой под названием «Blue Mockingbird» для установки майнеров Monero на уязвимых серверах, но также мог использоваться и для бокового распространения.
Exploit user work workstations for local privilege escalation:
когда злоумышленник получает доступ к рабочей станции, его конечной целью является получение учетных данных или прав администратора. Используя эти уязвимости, хакер может повысить свои привилегии до СИСТЕМНЫХ или административных.
CVE-2020-0601 - Уязвимость Windows CryptoAPI Spoofing, обнаруженная АНБ, позволяет злоумышленникам подделывать сертификаты для подписи кода, чтобы вредоносные исполняемые файлы выглядели подписанными законной доверенной компанией.
CVE-2019-0803 - В Windows® существует уязвимость, приводящая к несанкционированному получению прав, когда компонент Win32k не может должным образом обрабатывать объекты в памяти.
Exploit network devices:
эта последняя группа уязвимостей позволяет злоумышленникам отслеживать и изменять сетевой трафик по мере его прохождения через устройство.
CVE-2017-6327 - Symantec 22 Messaging Gateway может столкнуться с проблемой удаленного выполнения кода.
CVE-2020-3118 - уязвимость Cisco "CDPwn" в реализации протокола Cisco Discovery для программного обеспечения Cisco IOS 23 XR делает возможным удаленное выполнение кода.
CVE-2020-8515 - устройства DrayTek Vigor 24 позволяют удаленное выполнение кода от имени пользователя root (без аутентификации) через метасимволы оболочки
https://www.bleepingcomputer.com/news/security/nsa-top-25-vulnerabilities-actively-abused-by-chinese-hackers/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.