­­­­

«ЕЙ-БІ-СІ ГРУП» ТОВ

“A-B-C GROUP” LLS
  • +38 (050) 550-65-83
  • ТОВ ЕЙ-БІ-СІ ГРУП"Українам Київвул Вишгородська34/1 - 5604114
Назад к списку

Список 25 самых используемых эксплойтов

Китайские кибератаки, спонсируемые государством, активно компрометируют цели, используя множество известных уязвимостей безопасности, в том числе уязвимость Pulse VPN, претендующая на сомнительный титул «наиболее популярной ошибки» для этих групп. 

Злоумышленники - даже хорошо финансируемые и спонсируемые государством, располагающие большим количеством времени и денег - не платят за дорогостоящие уязвимости нулевого дня или сложные эксплойты, когда существует множество систем с известными уязвимостями, которые еще не исправлены. Предприятиям следует исправлять или смягчать общеизвестные уязвимости, прежде чем беспокоиться о защите нулевого дня. 

Это согласно Агентству национальной безопасности (АНБ), которое опубликовало «25 лучших» эксплойтов, которые чаще всего используются связанными с Китаем расширенными постоянными угрозами (APT), включая такие, как Cactus Pete , TA413, Vicious Panda. и Виннити .

«Многие из этих уязвимостей могут быть использованы для получения первоначального доступа к сетям жертвы за счет использования продуктов, которые непосредственно доступны из Интернета,. После того, как кибер-актор установил присутствие в сети из-за одной из этих уязвимостей удаленной эксплуатации, он может использовать другие уязвимости для дальнейшей эксплуатации сети изнутри.

APT - китайские и другие - активизировали свои усилия по кибершпионажу после пандемии.

Китайские злоумышленники пытаются собрать данные об интеллектуальной собственности. Они могут быть национальным государством, могут быть компанией или группой компаний, или просто группой злоумышленников, или отдельным лицом, пытающимся получить конфиденциальную информацию для использования и создания конкурентоспособных компаний ... другими словами, для кражи и использования в собственных целях. усиление."

Pulse Secure, BlueKeep, Zerologon и другие

Множество хорошо известных и печально известных ошибок попали в топ-25 АНБ. Например, печально известная ошибка Pulse Secure VPN (CVE-2019-11510) является первым недостатком в списке.

Это ошибка произвольного чтения файлов, которая делает систему уязвимой для удаленных атак, не прошедших проверку подлинности. Фактически, это ошибка, которая лежит в основе фиаско программы-вымогателя Travelex, которая произошла в январе

Компания Pulse Secure выпустила исправление в апреле 2019 года, но многие компании, столкнувшиеся с уязвимостью, до сих пор не применили его.

Еще одна серьезная проблема для иностранных злоумышленников - это критический недостаток в устройствах прокси / балансировки нагрузки F5 BIG-IP 8 ( CVE-2020-5902 ). Эта ошибка удаленного выполнения кода (RCE) существует в пользовательском интерфейсе управления трафиком (TMUI) устройства, которое используется для настройки. Он позволяет полностью контролировать хост-машину при эксплуатации, обеспечивая перехват и перенаправление веб-трафика, расшифровку трафика, предназначенного для веб-серверов, и использование в качестве точки перехода в другие области сети.

В конце июня F5 выпустила срочное исправление ошибки, которая имеет оценку серьезности CVSS 10 из 10 «из-за отсутствия сложности, простоты вектора атаки и значительного влияния на конфиденциальность, целостность и доступность», - заявили исследователи. в то время. В июле при обыске Shodan были обнаружены тысячи устройств.

Также отметчкер несколько уязвимостей в Citrix. Ошибка существует в Citrix Application Delivery Controller (ADC) и Gateway, специализированном сетевом устройстве, предназначенном для повышения производительности и безопасности приложений, доставляемых через Интернет. Эксплойт может привести к RCE без учетных данных.

Когда она была впервые раскрыта в декабре, уязвимость не имела патча, и Citrix пришлось изо всех сил пытаться выпустить исправления - но не раньше, чем появился открытый код эксплойта для проверки концепции (PoC), а также активные эксплойты и активность массового сканирования. для уязвимых продуктов Citrix.

Другие ошибки Citrix в списке включают CVE-2020-8193, CVE-2020-8195 и CVE-2020-8196.

Между тем, ошибки Microsoft широко представлены, в том числе ошибка BlueKeep RCE в службах удаленных рабочих столов (RDP), которая все еще подвергается активной атаке через год после раскрытия. Ошибка, отслеживаемая как CVE-2019-0708, может быть использована неаутентифицированным злоумышленником, подключающимся к целевой системе с помощью RDP, для отправки специально созданных запросов и выполнения кода. По их словам, проблема с BlueKeep заключается в том, что исследователи считают его способным к червю, что может привести к катастрофе на уровне WannaCry.

Еще одна ошибка с именем в списке - Zerologon , уязвимость, связанная с повышением привилегий, которая позволяет неаутентифицированному злоумышленнику, имеющему сетевой доступ к контроллеру домена, полностью скомпрометировать все службы идентификации Active Directory. Он был исправлен в августе, но многие организации остаются уязвимыми, и DHS недавно выпустило ужасное предупреждение об ошибке на фоне цунами атак.

Самая первая ошибка, в Microsoft , - CVE-2020-0601, также эксплуатируется китайскими участниками. Эта уязвимость подмены, исправленная в январе, существует в способе проверки Windows CryptoAPI (Crypt32.dll) сертификатов Elliptic Curve Cryptography (ECC). Злоумышленник может воспользоваться этой уязвимостью, используя поддельный сертификат для подписи кода для подписи вредоносного исполняемого файла, создавая впечатление, что файл был получен из надежного законного источника.

Всего через неделю после выпуска январского бюллетеня безопасности Microsoft, выпущенного во вторник после исправления ошибки, были опубликованы два эксплойта для проверки концепции (PoC).

Кроме того, существует огромная ошибка RCE ключа проверки Microsoft Exchange ( CVE-2020-0688 ), которая возникает из-за того, что сервер не может правильно создать уникальные ключи во время установки.

Это было исправлено в рамках февральских обновлений Microsoft Patch Tuesday, а в марте администраторы были предупреждены о том, что неустановленные серверы используются неназванными APT-участниками. Но по состоянию на 30 сентября по крайней мере 61% серверов Exchange 2010, 2013, 2016 и 2019 все еще оставались уязвимыми для уязвимости.

Лучшее из остальных

В списке 25 лучших, подготовленном АНБ, содержится множество вопросов, включая почти повсеместную ошибку RCE (CVE-2019-1040), которая, когда была раскрыта в прошлом году, затронула все версии Windows. Это позволяет злоумышленнику-посреднику обойти защиту NTLM Message Integrity Check.

Вот список других недостатков:

•CVE-2018-4939 в некоторых версиях Adobe ColdFusion. 

•CVE-2020-2555 в продукте Oracle Coherence в Oracle Fusion Middleware. 

•CVE-2019-3396 в макросе Widget Connector в Atlassian Confluence Server

•CVE-2019-11580 в Atlassian Crowd или Crowd Data Center 

•CVE-2020-10189 в Zoho ManageEngine Desktop Central 

•CVE-2019-18935 в пользовательском интерфейсе Progress Telerik для ASP.NET AJAX. 

•CVE-2019-0803 в Windows, проблема повышения привилегий в компоненте Win32k 

•CVE-2020-3118 в реализации протокола обнаружения Cisco для программного обеспечения Cisco IOS XR 

•CVE-2020-8515 в устройствах DrayTek Vigor 

В сообщении также рассматриваются три более старых ошибки: одна при передаче почты eximʻa (CVE-2018-6789); один в Symantec Messaging Gateway (CVE-2017-6327); и один в компоненте безопасности WLS в Oracle WebLogic Server (CVE-2015-4852).