АНБ США представило наиболее популярные уязвимости которые используют хакеры из КНР
Агентство Национальной Безопасности Соединенных Штатов Америки опубликовало отчёт о наиболее популярных уязвимостях, которые используются Китайскими Правительственными хакерскими группировками при осуществлении кибератак.
В отчете подчёркивается, что одна из самых больших угроз для систем национальной безопасности США (СНБ), оборонно-промышленной базы США (ОПБ) и Информационные сети Министерства обороны (МО) – это кибератаки со стороны Китая. При этом, все представленные методы включают использование общеизвестных уязвимостей, поэтому крайне важно, чтобы специалисты в области информационной безопасности могли с ними ознакомиться и принять меры по защите сетевой инфраструктуры.
Как выглядят этапы кибератаки
- Идентификация цели;
- Сбор технической информации о цели;
- Выявление всех возможных уязвимостей, связанных с целью;
- Разработка эксплойта.
Большинство перечисленных уязвимостей можно использовать для получения первоначального доступа к сетям жертв с помощью продуктов, которые непосредственно доступны из интернета и используются как шлюзы для внутренних сетей.
- CVE-2019-11510 – уязвимость в серверах Pulse Secure VPN. Злоумышленник может отправить специально сконфигурированные URI, выполнить произвольный код и похитить ключи и пароли.
- CVE-2020-5902 – уязвимость в прокси-серверах и балансировщиках нагрузки F5 BIG-IP.
- CVE-2019-19781 – уязвимость обхода каталога в Citrix Application Delivery Controller (ADC) и Gateway.
- CVE-2020-8193, CVE-2020-8195, CVE-2020-8196 –уязвимости в Citrix ADC и Gateway, которые позволяют получить неавторизованный доступ к определенным конечным точкам URL и раскрыть информацию.
- CVE-2019-0708 (BlueKeep) – уязвимость удаленного выполнения кода в Remote Desktop Services.
- CVE-2020-15505 – уязвимость удаленного выполнения кода в ПО MobileIron.
- CVE-2020-1350 (SIGRed) – уязвимость удаленного выполнения кода в Windows Domain Name System.
- CVE-2020-1472 (Zerologon) – уязвимость повышения привилегий по уязвимому каналу Netlogon с помощью протокола Netlogon Remote Protocol (MS-NRPC).
- CVE-2019-1040 – уязвимость в Microsoft Windows типа «человек посередине».
- CVE-2018-6789 – уязвимость перевыполнения буфера и захвата контроля над почтовым сервером Exim.
- CVE-2020-0688 – уязвимость удаленного выполнения кода в Microsoft Exchange.
- CVE-2018-4939 – уязвимость в некоторых версиях Adobe ColdFusion, позволяющая удаленно выполнить код.
- CVE-2015-4852 – уязвимость компонента WLS Security в Oracle WebLogic 15 Server.
- CVE-2020-2555 – уязвимость в продукте Oracle Coherence в Oracle Fusion Middleware.
- CVE-2019-3396 – уязвимость с использованием макроса Widget Connector в Atlassian Confluence 17 Server.
- CVE-2019-11580 – уязвимость в Atlassian Crowd и Crowd Data Center.
- CVE-2020-10189 — эксплойт на основе Zoho ManageEngine Desktop Central.
- CVE-2019-18935 — Progress Telerik UI для ASP.NET AJAX содержит брешь десериализации в .NET.
- CVE-2020-0601 (CurveBall) – уязвимость спуфинга в Windows CryptoAPI (Crypt32.dll).
- CVE-2019-0803 – уязвимость повышения привилегий в Windows.
- CVE-2017-6327 – эксплойт в виде удаленного выполнения кода в Symantec Messaging Gateway.
- CVE-2020-3118 – уязвимость удаленного выполнения кода Cisco Discovery Protocol для Cisco IOS XR.
- CVE-2020-8515 – уязвимость в устройствах DrayTek Vigor.
Рекомендации ведомства
- Обновить системы и сервисы как можно быстрее после выхода обновлений;
- Предусмотреть что украденные или измененные данные (включая учётные данные) до того, не будут устранены апдейтом безопасности, что делает изменение паролей и проверку учетных записей хорошей практикой;
- Отключить внешние возможности управления и настроить внеполосную сеть управления.
- Заблокировать устаревшие или неиспользуемые протоколы на границе сети и отключить их в конфигурациях устройств;
- Изолировать интернет-сервисы в сетевой демилитаризованной зоне (ДМЗ), чтобы уменьшить воздействие на внутренние сети в случае кибератаки;
- Реализовать процедуры ведения журнала интернет-сервисов и контролировать журналы на наличие признаков взлома.