{"id":2381,"date":"2020-10-27T16:08:10","date_gmt":"2020-10-27T21:08:10","guid":{"rendered":"https:\/\/www.itechsas.com\/blog\/?p=2381"},"modified":"2020-10-27T16:16:04","modified_gmt":"2020-10-27T21:16:04","slug":"nsa-alerta-de-25-vulnerabilidades-que-estan-usando-ciberatacantes-chinos","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/ciberseguridad\/nsa-alerta-de-25-vulnerabilidades-que-estan-usando-ciberatacantes-chinos\/","title":{"rendered":"NSA alerta de 25 vulnerabilidades que est\u00e1n usando cibercriminales chinos"},"content":{"rendered":"\n

La\u00a0Agencia de Seguridad Nacional de EE. UU. (NSA) ha publicado\u00a0un informe<\/a>\u00a0detallado con las\u00a025 vulnerabilidades principales<\/strong>\u00a0que actualmente est\u00e1n siendo usadas y explotadas por grupos de ciberpiratas Chinos para obtener acceso a redes, implementar aplicaciones m\u00f3viles maliciosas y propagarse lateralmente a trav\u00e9s de un sistema, mientras los atacantes roban datos confidenciales. <\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Los exploits para muchas vulnerabilidades tambi\u00e9n est\u00e1n disponibles p\u00fablicamente. Algunos han sido explotados por m\u00e1s que piratas inform\u00e1ticos chinos, y tambi\u00e9n se han incorporado al arsenal de bandas de ransomware<\/strong>, grupos de malware de bajo nivel y actores estatales de otros pa\u00edses (es decir, Rusia e Ir\u00e1n).<\/p>\n\n\n\n

\u00abLa mayor\u00eda de las vulnerabilidades listadas a continuaci\u00f3n pueden explotarse para obtener acceso inicial a las redes de las v\u00edctimas utilizando productos a los que se puede acceder directamente desde Internet y act\u00faan como puertas de enlace a las redes internas\u00bb, dijo hoy la NSA.<\/p><\/blockquote>\n\n\n\n

La agencia de ciberseguridad de EE. UU. recomienda a las organizaciones del sector p\u00fablico y privado a parchear los sistemas con las vulnerabilidades que se enumeran a continuaci\u00f3n.<\/p>\n\n\n\n

Listado TOP 25 vulnerabilidades<\/h2>\n\n\n\n

Aprovechar el acceso remoto seguro<\/strong>: para obtener acceso a las redes, los ciberatacantes chinos utilizan siete vulnerabilidades diferentes, muchas de las cuales tambi\u00e9n proporcionan credenciales que se pueden usar para propagarse m\u00e1s en la red.<\/p>\n\n\n\n

1)  <\/strong>CVE-2019-11510<\/strong><\/a>  : en los servidores Pulse Secure VPN<\/strong>, un atacante remoto no autenticado puede enviar un URI especialmente dise\u00f1ado para realizar una vulnerabilidad de lectura de archivos arbitraria. Esto puede provocar la exposici\u00f3n de claves o contrase\u00f1as.<\/p>\n\n\n\n

2)  <\/strong>CVE-2020-5902<\/strong><\/a> : en proxies F5 BIG-IP<\/strong> y balanceador de carga, la interfaz de usuario de gesti\u00f3n de tr\u00e1fico (TMUI), tambi\u00e9n conocida como la utilidad de configuraci\u00f3n, es vulnerable a una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo (RCE) que puede permitir atacantes para apoderarse de todo el dispositivo BIG-IP.<\/p>\n\n\n\n

3)  <\/strong>CVE-2019-19781<\/strong><\/a>  : los sistemas<\/strong><\/a> Citrix Application Delivery Controller<\/strong> (ADC) y Gateway son vulnerables a un error de recorrido de directorio, que puede llevar a la ejecuci\u00f3n remota de c\u00f3digo sin que el atacante tenga que poseer credenciales v\u00e1lidas para el dispositivo. Estos dos problemas se pueden encadenar para hacerse cargo de los sistemas Citrix.<\/p>\n\n\n\n

4 + 5 + 6)  <\/strong>CVE-2020-8193<\/strong><\/a> ,  <\/strong>CVE-2020-8195<\/strong><\/a> ,  <\/strong>CVE-2020-8196<\/strong><\/a> : otro conjunto de errores de Citrix ADC y Gateway. Estos tambi\u00e9n afectan a los sistemas SDWAN WAN-OP. Los tres errores permiten el acceso no autenticado a ciertos puntos finales de URL y la divulgaci\u00f3n de informaci\u00f3n a usuarios con pocos privilegios.<\/p>\n\n\n\n

7)  <\/strong>CVE-2019-0708<\/strong><\/a>  (tambi\u00e9n conocido como BlueKeep)<\/strong>  : existe una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo dentro de los Servicios de escritorio remoto en los sistemas operativos Windows.<\/p>\n\n\n\n

Explotar la administraci\u00f3n de dispositivos m\u00f3viles (MDM)<\/strong>: al comprometer los servidores MDM, los actores de amenazas pueden expulsar aplicaciones m\u00f3viles maliciosas o cambiar configuraciones de dispositivos que env\u00edan tr\u00e1fico a trav\u00e9s de servidores proxy o hosts controlados por atacantes.<\/p>\n\n\n\n

8)  <\/strong>CVE-2020-15505<\/strong><\/a>  : una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo en el software de administraci\u00f3n de dispositivos m\u00f3viles (MDM) MobileIron que permite a atacantes remotos ejecutar c\u00f3digo arbitrario y hacerse cargo de los servidores remotos de la empresa.<\/p>\n\n\n\n

Explotar Directorio activo: <\/strong>Aprovechan el Active Directory para movimiento lateral y acceso a credenciales:<\/p>\n\n\n\n

10)  <\/strong>CVE-2020-1472<\/strong><\/a>  (tambi\u00e9n conocido como Netlogon)<\/strong>  : existe una vulnerabilidad de elevaci\u00f3n de privilegios cuando un atacante establece una conexi\u00f3n de canal seguro Netlogon vulnerable a un controlador de dominio mediante el protocolo remoto Netlogon (MS-NRPC).<\/p>\n\n\n\n

11)  <\/strong>CVE-2019-1040<\/strong><\/a>  : existe una vulnerabilidad de manipulaci\u00f3n en Microsoft Windows cuando un atacante de intermediario puede eludir con \u00e9xito la protecci\u00f3n NTLM MIC (verificaci\u00f3n de integridad de mensajes).<\/p>\n\n\n\n

Explotar servidores de cara al p\u00fablico<\/strong>: los atacantes utilizan estas vulnerabilidades para evitar la autenticaci\u00f3n en servidores web, servidores de correo electr\u00f3nico o DNS para ejecutar comandos de forma remota en la red interna. Para los servidores web comprometidos, los atacantes pueden utilizarlos con ataques de abrevadero (watering hole<\/em>) infect\u00e1ndolos con malware o c\u00f3digo malicioso para atacar a futuros visitantes.<\/p>\n\n\n\n

9)  <\/strong>CVE-2020-1350<\/strong><\/a>  (tambi\u00e9n conocido como SIGRed) <\/strong> : existe una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo en los servidores del Sistema de nombres de dominio de Windows cuando no pueden manejar adecuadamente las solicitudes.<\/p>\n\n\n\n

12)  <\/strong>CVE-2018-6789<\/strong><\/a>  : enviar un mensaje hecho a mano a un agente de transferencia de correo de Exim puede provocar un desbordamiento del b\u00fafer. Esto se puede utilizar para ejecutar c\u00f3digo de forma remota y hacerse cargo de los servidores de correo electr\u00f3nico.<\/p>\n\n\n\n

14)  <\/strong>CVE-2018-4939<\/strong><\/a>  : ciertas versiones de Adobe ColdFusion tienen una vulnerabilidad explotable de deserializaci\u00f3n de datos no confiables. La explotaci\u00f3n exitosa podr\u00eda conducir a la ejecuci\u00f3n de c\u00f3digo arbitrario.<\/p>\n\n\n\n

Explotar servidores internos<\/strong>: estas vulnerabilidades se utilizan para propagarse lateralmente a trav\u00e9s de una red y obtener acceso a servidores internos, donde los atacantes pueden robar datos valiosos.<\/p>\n\n\n\n

13)  <\/strong>CVE-2020-0688<\/strong><\/a>  : existe una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo en el software Microsoft Exchange cuando el software no puede manejar correctamente los objetos en la memoria.<\/p>\n\n\n\n

15)  <\/strong>CVE-2015-4852<\/strong><\/a>  : el componente de seguridad WLS en Oracle WebLogic 15 Server permite a atacantes remotos ejecutar comandos arbitrarios a trav\u00e9s de un objeto Java serializado dise\u00f1ado<\/p>\n\n\n\n

16)  <\/strong>CVE-2020-2555<\/strong><\/a>  : existe una vulnerabilidad en el producto Oracle Coherence de Oracle Fusion Middleware. Esta vulnerabilidad f\u00e1cilmente explotable permite a un atacante no autenticado con acceso a la red a trav\u00e9s de T3 comprometer los sistemas Oracle Coherence.<\/p>\n\n\n\n

17)  <\/strong>CVE-2019-3396<\/strong><\/a> : la macro Widget Connector en Atlassian Confluence 17 Server permite a los atacantes remotos lograr un recorrido de ruta y una ejecuci\u00f3n remota de c\u00f3digo en una instancia de Confluence Server o Data Center a trav\u00e9s de la inyecci\u00f3n de plantilla del lado del servidor.<\/p>\n\n\n\n

18)  <\/strong>CVE-2019-11580<\/strong><\/a>  : los atacantes que pueden enviar solicitudes a una instancia de Atlassian Crowd o Crowd Data Center pueden aprovechar esta vulnerabilidad para instalar complementos arbitrarios, lo que permite la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n\n\n\n

19)  <\/strong>CVE-2020-10189<\/strong><\/a>  : Zoho ManageEngine Desktop Central permite la ejecuci\u00f3n remota de c\u00f3digo debido a la deserializaci\u00f3n de datos que no son de confianza.<\/p>\n\n\n\n

20)  <\/strong>CVE-2019-18935<\/strong><\/a>  – Progress Telerik UI para ASP.NET AJAX contiene una vulnerabilidad de deserializaci\u00f3n de .NET. La explotaci\u00f3n puede resultar en la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n\n\n\n

Explotaci\u00f3n en estaciones de trabajo de los usuarios para la escalada de privilegios locales<\/strong>: cuando un atacante obtiene acceso a una estaci\u00f3n de trabajo, su objetivo final es obtener credenciales o privilegios administrativos. Usando estas vulnerabilidades, un pirata inform\u00e1tico puede elevar sus privilegios al SISTEMA o al acceso de administrador.<\/p>\n\n\n\n

21)  <\/strong>CVE-2020-0601<\/strong><\/a>  (tambi\u00e9n conocido como CurveBall)<\/strong>  : existe una vulnerabilidad de suplantaci\u00f3n de identidad en la forma en que Windows CryptoAPI (Crypt32.dll) valida los certificados de criptograf\u00eda de curva el\u00edptica (ECC). Un atacante podr\u00eda aprovechar la vulnerabilidad mediante el uso de un certificado de firma de c\u00f3digo falsificado para firmar un ejecutable malicioso, haciendo que parezca que el archivo proviene de una fuente leg\u00edtima y confiable.<\/p>\n\n\n\n

22)  <\/strong>CVE-2019-0803<\/strong><\/a> : existe una vulnerabilidad de elevaci\u00f3n de privilegios en Windows cuando el componente Win32k no puede manejar correctamente los objetos en la memoria.<\/p>\n\n\n\n

Explotar dispositivos de red<\/strong>: este \u00faltimo grupo de vulnerabilidades permite a los atacantes monitorear y modificar el tr\u00e1fico de red a medida que fluye por el dispositivo.<\/p>\n\n\n\n

23)  <\/strong>CVE-2017-6327<\/strong><\/a> : Symantec Messaging Gateway puede encontrar un problema de ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n\n\n\n

24)  <\/strong>CVE-2020-3118<\/strong><\/a>  : una vulnerabilidad en la implementaci\u00f3n del Protocolo de descubrimiento de Cisco para el software Cisco IOS XR podr\u00eda permitir que un atacante adyacente no autenticado ejecute c\u00f3digo arbitrario o provoque la recarga de un dispositivo afectado.<\/p>\n\n\n\n

25)  <\/strong>CVE-2020-8515<\/strong><\/a>  – Los dispositivos DrayTek Vigor permiten la ejecuci\u00f3n remota de c\u00f3digo como root (sin autenticaci\u00f3n) a trav\u00e9s de metacaracteres de shell.<\/p>\n\n\n\n

Fuentes<\/strong>:<\/p>\n\n\n\n

https:\/\/www.bleepingcomputer.com\/news\/security\/nsa-top-25-vulnerabilities-actively-abused-by-chinese-hackers\/<\/a><\/p>\n\n\n\n

https:\/\/www.zdnet.com\/article\/nsa-publishes-list-of-top-25-vulnerabilities-currently-targeted-by-chinese-hackers\/<\/a><\/p>\n\n\n\n

\"\"<\/a>
Prueba el servicio sin costo dando clic<\/strong><\/figcaption><\/figure>\n","protected":false},"excerpt":{"rendered":"

La\u00a0Agencia de Seguridad Nacional de EE. UU. (NSA) ha publicado\u00a0un informe\u00a0detallado con las\u00a025 vulnerabilidades principales\u00a0que actualmente est\u00e1n siendo usadas y explotadas por grupos de ciberpiratas Chinos para obtener acceso a redes, implementar aplicaciones m\u00f3viles maliciosas y propagarse lateralmente a trav\u00e9s de un sistema, mientras los atacantes roban datos confidenciales. Los exploits para muchas vulnerabilidades tambi\u00e9n…<\/p>\n","protected":false},"author":1,"featured_media":2384,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23],"tags":[262,258,257,250,261,256,259,199,260,263,255,201,249],"class_list":["post-2381","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","tag-adobe-coldfusion","tag-bluekeep","tag-citrix-adc","tag-cve","tag-exim","tag-f5-big","tag-mdm","tag-microsoft","tag-netlogon","tag-oracle-weblogic","tag-pulse-secure-vpn","tag-sigred","tag-vulnerabilidades"],"_links":{"self":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/2381","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/comments?post=2381"}],"version-history":[{"count":0,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/2381\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media\/2384"}],"wp:attachment":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media?parent=2381"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/categories?post=2381"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/tags?post=2381"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}