La Agencia de Seguridad Nacional de EE. UU. (NSA) ha publicado un informe detallado con las 25 vulnerabilidades principales que actualmente están siendo usadas y explotadas por grupos de ciberpiratas Chinos para obtener acceso a redes, implementar aplicaciones móviles maliciosas y propagarse lateralmente a través de un sistema, mientras los atacantes roban datos confidenciales.
Los exploits para muchas vulnerabilidades también están disponibles públicamente. Algunos han sido explotados por más que piratas informáticos chinos, y también se han incorporado al arsenal de bandas de ransomware, grupos de malware de bajo nivel y actores estatales de otros países (es decir, Rusia e Irán).
“La mayoría de las vulnerabilidades listadas a continuación pueden explotarse para obtener acceso inicial a las redes de las víctimas utilizando productos a los que se puede acceder directamente desde Internet y actúan como puertas de enlace a las redes internas”, dijo hoy la NSA.
La agencia de ciberseguridad de EE. UU. recomienda a las organizaciones del sector público y privado a parchear los sistemas con las vulnerabilidades que se enumeran a continuación.
Listado TOP 25 vulnerabilidades
Aprovechar el acceso remoto seguro: para obtener acceso a las redes, los ciberatacantes chinos utilizan siete vulnerabilidades diferentes, muchas de las cuales también proporcionan credenciales que se pueden usar para propagarse más en la red.
1) CVE-2019-11510 : en los servidores Pulse Secure VPN, un atacante remoto no autenticado puede enviar un URI especialmente diseñado para realizar una vulnerabilidad de lectura de archivos arbitraria. Esto puede provocar la exposición de claves o contraseñas.
2) CVE-2020-5902 : en proxies F5 BIG-IP y balanceador de carga, la interfaz de usuario de gestión de tráfico (TMUI), también conocida como la utilidad de configuración, es vulnerable a una vulnerabilidad de ejecución remota de código (RCE) que puede permitir atacantes para apoderarse de todo el dispositivo BIG-IP.
3) CVE-2019-19781 : los sistemas Citrix Application Delivery Controller (ADC) y Gateway son vulnerables a un error de recorrido de directorio, que puede llevar a la ejecución remota de código sin que el atacante tenga que poseer credenciales válidas para el dispositivo. Estos dos problemas se pueden encadenar para hacerse cargo de los sistemas Citrix.
4 + 5 + 6) CVE-2020-8193 , CVE-2020-8195 , CVE-2020-8196 : otro conjunto de errores de Citrix ADC y Gateway. Estos también afectan a los sistemas SDWAN WAN-OP. Los tres errores permiten el acceso no autenticado a ciertos puntos finales de URL y la divulgación de información a usuarios con pocos privilegios.
7) CVE-2019-0708 (también conocido como BlueKeep) : existe una vulnerabilidad de ejecución remota de código dentro de los Servicios de escritorio remoto en los sistemas operativos Windows.
Explotar la administración de dispositivos móviles (MDM): al comprometer los servidores MDM, los actores de amenazas pueden expulsar aplicaciones móviles maliciosas o cambiar configuraciones de dispositivos que envían tráfico a través de servidores proxy o hosts controlados por atacantes.
8) CVE-2020-15505 : una vulnerabilidad de ejecución remota de código en el software de administración de dispositivos móviles (MDM) MobileIron que permite a atacantes remotos ejecutar código arbitrario y hacerse cargo de los servidores remotos de la empresa.
Explotar Directorio activo: Aprovechan el Active Directory para movimiento lateral y acceso a credenciales:
10) CVE-2020-1472 (también conocido como Netlogon) : existe una vulnerabilidad de elevación de privilegios cuando un atacante establece una conexión de canal seguro Netlogon vulnerable a un controlador de dominio mediante el protocolo remoto Netlogon (MS-NRPC).
11) CVE-2019-1040 : existe una vulnerabilidad de manipulación en Microsoft Windows cuando un atacante de intermediario puede eludir con éxito la protección NTLM MIC (verificación de integridad de mensajes).
Explotar servidores de cara al público: los atacantes utilizan estas vulnerabilidades para evitar la autenticación en servidores web, servidores de correo electrónico o DNS para ejecutar comandos de forma remota en la red interna. Para los servidores web comprometidos, los atacantes pueden utilizarlos con ataques de abrevadero (watering hole) infectándolos con malware o código malicioso para atacar a futuros visitantes.
9) CVE-2020-1350 (también conocido como SIGRed) : existe una vulnerabilidad de ejecución remota de código en los servidores del Sistema de nombres de dominio de Windows cuando no pueden manejar adecuadamente las solicitudes.
12) CVE-2018-6789 : enviar un mensaje hecho a mano a un agente de transferencia de correo de Exim puede provocar un desbordamiento del búfer. Esto se puede utilizar para ejecutar código de forma remota y hacerse cargo de los servidores de correo electrónico.
14) CVE-2018-4939 : ciertas versiones de Adobe ColdFusion tienen una vulnerabilidad explotable de deserialización de datos no confiables. La explotación exitosa podría conducir a la ejecución de código arbitrario.
Explotar servidores internos: estas vulnerabilidades se utilizan para propagarse lateralmente a través de una red y obtener acceso a servidores internos, donde los atacantes pueden robar datos valiosos.
13) CVE-2020-0688 : existe una vulnerabilidad de ejecución remota de código en el software Microsoft Exchange cuando el software no puede manejar correctamente los objetos en la memoria.
15) CVE-2015-4852 : el componente de seguridad WLS en Oracle WebLogic 15 Server permite a atacantes remotos ejecutar comandos arbitrarios a través de un objeto Java serializado diseñado
16) CVE-2020-2555 : existe una vulnerabilidad en el producto Oracle Coherence de Oracle Fusion Middleware. Esta vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de T3 comprometer los sistemas Oracle Coherence.
17) CVE-2019-3396 : la macro Widget Connector en Atlassian Confluence 17 Server permite a los atacantes remotos lograr un recorrido de ruta y una ejecución remota de código en una instancia de Confluence Server o Data Center a través de la inyección de plantilla del lado del servidor.
18) CVE-2019-11580 : los atacantes que pueden enviar solicitudes a una instancia de Atlassian Crowd o Crowd Data Center pueden aprovechar esta vulnerabilidad para instalar complementos arbitrarios, lo que permite la ejecución remota de código.
19) CVE-2020-10189 : Zoho ManageEngine Desktop Central permite la ejecución remota de código debido a la deserialización de datos que no son de confianza.
20) CVE-2019-18935 – Progress Telerik UI para ASP.NET AJAX contiene una vulnerabilidad de deserialización de .NET. La explotación puede resultar en la ejecución remota de código.
Explotación en estaciones de trabajo de los usuarios para la escalada de privilegios locales: cuando un atacante obtiene acceso a una estación de trabajo, su objetivo final es obtener credenciales o privilegios administrativos. Usando estas vulnerabilidades, un pirata informático puede elevar sus privilegios al SISTEMA o al acceso de administrador.
21) CVE-2020-0601 (también conocido como CurveBall) : existe una vulnerabilidad de suplantación de identidad en la forma en que Windows CryptoAPI (Crypt32.dll) valida los certificados de criptografía de curva elíptica (ECC). Un atacante podría aprovechar la vulnerabilidad mediante el uso de un certificado de firma de código falsificado para firmar un ejecutable malicioso, haciendo que parezca que el archivo proviene de una fuente legítima y confiable.
22) CVE-2019-0803 : existe una vulnerabilidad de elevación de privilegios en Windows cuando el componente Win32k no puede manejar correctamente los objetos en la memoria.
Explotar dispositivos de red: este último grupo de vulnerabilidades permite a los atacantes monitorear y modificar el tráfico de red a medida que fluye por el dispositivo.
23) CVE-2017-6327 : Symantec Messaging Gateway puede encontrar un problema de ejecución remota de código.
24) CVE-2020-3118 : una vulnerabilidad en la implementación del Protocolo de descubrimiento de Cisco para el software Cisco IOS XR podría permitir que un atacante adyacente no autenticado ejecute código arbitrario o provoque la recarga de un dispositivo afectado.
25) CVE-2020-8515 – Los dispositivos DrayTek Vigor permiten la ejecución remota de código como root (sin autenticación) a través de metacaracteres de shell.
Fuentes:
