Агентство нацбезопасности США рассказало о методах работы китайских хакеров

Агентство нацбезопасности США рассказало о методах работы китайских хакеров

Агентство национальной безопасности США опубликовало подробный отчет о 25 уязвимостях, активно сканируемых и эксплуатируемых киберпреступными группировками, работающими на китайское правительство. Все 25 уязвимостей являются известными, и производители уже выпустили для них исправления.

Примечательно, что эксплоиты для многих уязвимостей также доступны любому желающему. Некоторые из них входят в арсенал не только китайских, но и других хакерских группировок, в том числе операторов вымогательского ПО, киберпреступников низкого уровня и ATP-групп других стран.

"Большинство уязвимостей позволяют получить первоначальный доступ к сетям жертвы с помощью продуктов, доступных непосредственно через интернет и играющих роль шлюзов ко внутренним сетям", — сообщается в отчете.

1) CVE-2019-11510 — уязвимость в серверах Pulse Secure VPN. Неавторизованный удалённый злоумышленник может отправить особым образом сконфигурированные URI, выполнить произвольный код и похитить ключи и пароли.

2) CVE-2020-5902 — уязвимость в прокси-серверах и балансировщиках нагрузки F5 BIG-IP. Traffic Management User Interface (TMUI), также известный как Configuration utility, язвим к удалённому выполнению кода. С помощью уязвимости злоумышленник может захватить контроль над устройством BIG-IP.

3) CVE-2019-19781 — уязвимость обхода каталога в Citrix Application Delivery Controller (ADC) и Gateway, позволяющая удалённо выполнить код без необходимости вводить учётные данные для устройства.

4+5+6) CVE-2020-8193, CVE-2020-8195, CVE-2020-8196 — ещё одна связка уязвимостей в Citrix ADC и Gateway, которая также затрагивает системы SDWAN WAN-OP. Уязвимости позволяют получить неавторизованный доступ к определенным конечным точкам URL и раскрыть информацию пользователю с низкими привилегиями.

7) CVE-2019-0708 (BlueKeep) — уязвимость удалённого выполнения кода в Remote Desktop Services в ОС Windows.

8) CVE-2020-15505 — уязвимость удалённого выполнения кода в ПО MobileIron, позволяющая злоумышленнику захватить контроль над серверами компании.

9) CVE-2020-1350 (SIGRed) — уязвимость удалённого выполнения кода в Windows Domain Name System, существующая из-за недостаточной проверки запросов.

10) CVE-2020-1472 (Zerologon) — уязвимость повышения привилегий, возникающая, когда атакующий устанавливает соединение с контроллером домена по уязвимому каналу Netlogon с помощью протокола Netlogon Remote Protocol (MS-NRPC).

11) CVE-2019-1040 — уязвимость в Microsoft Windows, позволяющая осуществить атаку "человек посередине" и обойти защиту NTLM MIC (Message Integrity Check).

12) CVE-2018-6789 — уязвимость, позволяющая отправить особым образом сконфигурированное сообщение агенту доставки почты Exim, вызвать переполнение буфера, удалённо выполнить код и захватить контроль над почтовым сервером.

13) CVE-2020-0688 — уязвимость удалённого выполнения кода в Microsoft Exchange, существующая из-за неспособности ПО должным образом обработать объекты в памяти.

14) CVE-2018-4939 — уязвимость десереализации и недоверенных данных в некоторых версиях Adobe ColdFusion, позволяющая удалённо выполнить код.

15) CVE-2015-4852 — компонент WLS Security в Oracle WebLogic 15 Server позволяет удалённому атакующему выполнять произвольные команды с помощью особым образом сконфигурированного сериализованного объекта Java.

16) CVE-2020-2555 — уязвимость в продукте Oracle Coherence в Oracle Fusion Middleware, позволяющая неавторизованному атакующему с доступом к сети через T3 скомпрометировать системы Oracle Coherence.

17) CVE-2019-3396 — макрос Widget Connector в Atlassian Confluence 17 Server позволяет удалённому атакующему обойти каталог и выполнить код на установках Confluence Server и Data Center.

18) CVE-2019-11580 — путём отправки запросов установкам Atlassian Crowd и Crowd Data Center злоумышленник может устанавливать произвольные плагины, позволяющие удалённо выполнить код.

19) CVE-2020-10189 — Zoho ManageEngine Desktop Central позволяет удалённое выполнение кода из-за десериализации и недоверенных данных.

20) CVE-2019-18935 — Progress Telerik UI для ASP.NET AJAX содержит уязвимость десериализации в.NET, позволяющую удалённое выполнение кода.

21) CVE-2020-0601 (CurveBall) — уязвимость спуфинга в Windows CryptoAPI (Crypt32.dll), возникающая из-за того, как Crypt32.dll проверяет подлинность сертификатов Elliptic Curve Cryptography (ECC). С помощью поддельного сертификата для подписи кода атакующий может подписать вредоносный исполняемый файл и выдать его за файл из доверенного источника.

22) CVE-2019-0803 — уязвимость повышения привилегий в Windows, возникающая, когда компонент Win32k не способен должным образом обработать объекты в памяти.

23) CVE-2017-6327 — уязвимость удалённого выполнения кода в Symantec Messaging Gateway.

24) CVE-2020-3118 — уязвимость удалённого выполнения кода и перезагрузки в реализации Cisco Discovery Protocol для Cisco IOS XR.

25) CVE-2020-8515 — уязвимость в устройствах DrayTek Vigor, позволяющая неавторизованному злоумышленнику удалённо выполнить код с привилегиями суперпользователя.

Об этом сообщает Компромат 2

Microsoft Правительство США



Источник: “https://newsmir.info/2224610”