21 октября 2020
740

АНБ США представило наиболее популярные уязвимости которые используют хакеры из КНР

При этом в каждой из уязвимостей нет ничего нового и они являются общеизвестными. Большинство из них позволяют получить первичный доступ к корпоративным сетям.

Агентство Национальной Безопасности Соединенных Штатов Америки опубликовало отчёт о наиболее популярных уязвимостях, которые используются Китайскими Правительственными хакерскими группировками при осуществлении кибератак.

В отчете подчёркивается, что одна из самых больших угроз для систем национальной безопасности США (СНБ), оборонно-промышленной базы США (ОПБ) и Информационные сети Министерства обороны (МО) – это кибератаки со стороны Китая. При этом, все представленные методы включают использование общеизвестных уязвимостей, поэтому крайне важно, чтобы специалисты в области информационной безопасности могли с ними ознакомиться и принять меры по защите сетевой инфраструктуры.

Как выглядят этапы кибератаки

  • Идентификация цели;
  • Сбор технической информации о цели;
  • Выявление всех возможных уязвимостей, связанных с целью;
  • Разработка эксплойта.

Большинство перечисленных уязвимостей можно использовать для получения первоначального доступа к сетям жертв с помощью продуктов, которые непосредственно доступны из интернета и используются как шлюзы для внутренних сетей.

  • CVE-2019-11510 – уязвимость в серверах Pulse Secure VPN. Злоумышленник может отправить специально сконфигурированные URI, выполнить произвольный код и похитить ключи и пароли.
  • CVE-2020-5902 – уязвимость в прокси-серверах и балансировщиках нагрузки F5 BIG-IP.
  • CVE-2019-19781 – уязвимость обхода каталога в Citrix Application Delivery Controller (ADC) и Gateway.
  •  CVE-2020-8193, CVE-2020-8195, CVE-2020-8196 –уязвимости в Citrix ADC и Gateway, которые позволяют получить неавторизованный доступ к определенным конечным точкам URL и раскрыть информацию.
  • CVE-2019-0708 (BlueKeep) – уязвимость удаленного выполнения кода в Remote Desktop Services.
  • CVE-2020-15505 – уязвимость удаленного выполнения кода в ПО MobileIron.
  • CVE-2020-1350 (SIGRed) – уязвимость удаленного выполнения кода в Windows Domain Name System.
  • CVE-2020-1472 (Zerologon) – уязвимость повышения привилегий по уязвимому каналу Netlogon с помощью протокола Netlogon Remote Protocol (MS-NRPC).
  • CVE-2019-1040 – уязвимость в Microsoft Windows типа «человек посередине».
  • CVE-2018-6789 – уязвимость перевыполнения буфера и захвата контроля над почтовым сервером Exim.
  • CVE-2020-0688 – уязвимость удаленного выполнения кода в Microsoft Exchange.
  • CVE-2018-4939 – уязвимость в некоторых версиях Adobe ColdFusion, позволяющая удаленно выполнить код.
  • CVE-2015-4852 – уязвимость компонента WLS Security в Oracle WebLogic 15 Server.
  • CVE-2020-2555 – уязвимость в продукте Oracle Coherence в Oracle Fusion Middleware.
  • CVE-2019-3396 – уязвимость с использованием макроса Widget Connector в Atlassian Confluence 17 Server.
  • CVE-2019-11580 – уязвимость в Atlassian Crowd и Crowd Data Center.
  • CVE-2020-10189 — эксплойт на основе Zoho ManageEngine Desktop Central.
  • CVE-2019-18935 — Progress Telerik UI для ASP.NET AJAX содержит брешь десериализации в .NET.
  • CVE-2020-0601 (CurveBall) – уязвимость спуфинга в Windows CryptoAPI (Crypt32.dll).
  • CVE-2019-0803 – уязвимость повышения привилегий в Windows.
  • CVE-2017-6327 – эксплойт в виде удаленного выполнения кода в Symantec Messaging Gateway.
  • CVE-2020-3118 – уязвимость удаленного выполнения кода Cisco Discovery Protocol для Cisco IOS XR.
  • CVE-2020-8515 – уязвимость в устройствах DrayTek Vigor.

Рекомендации ведомства

  1. Обновить системы и сервисы как можно быстрее после выхода обновлений;
  2. Предусмотреть что украденные или измененные данные (включая учётные данные) до того, не будут устранены апдейтом безопасности, что делает изменение паролей и проверку учетных записей хорошей практикой;
  3. Отключить внешние возможности управления и настроить внеполосную сеть управления.
  4. Заблокировать устаревшие или неиспользуемые протоколы на границе сети и отключить их в конфигурациях устройств;
  5. Изолировать интернет-сервисы в сетевой демилитаризованной зоне (ДМЗ), чтобы уменьшить воздействие на внутренние сети в случае кибератаки;
  6. Реализовать процедуры ведения журнала интернет-сервисов и контролировать журналы на наличие признаков взлома.
Читайте также
Технически слабая хакерская группировка взломала 140 российских компаний
1 марта 2024
Мобильный троян PixPirat стал ещё опаснее
14 марта 2024
Мошенники воруют деньги через Telegram с помощью дипфейков
6 марта 2024