Агентство нацбезопасности США рассказало о методах работы китайских хакеров
Агентство национальной безопасности США опубликовало подробный отчет о 25 уязвимостях, активно сканируемых и эксплуатируемых киберпреступными группировками, работающими на китайское правительство. Все 25 уязвимостей являются известными, и производители уже выпустили для них исправления.
Примечательно, что эксплоиты для многих уязвимостей также доступны любому желающему. Некоторые из них входят в арсенал не только китайских, но и других хакерских группировок, в том числе операторов вымогательского ПО, киберпреступников низкого уровня и ATP-групп других стран.
"Большинство уязвимостей позволяют получить первоначальный доступ к сетям жертвы с помощью продуктов, доступных непосредственно через интернет и играющих роль шлюзов ко внутренним сетям", - сообщается в отчете.
1) CVE-2019-11510 - уязвимость в серверах Pulse Secure VPN. Неавторизованный удаленный злоумышленник может отправить особым образом сконфигурированные URI, выполнить произвольный код и похитить ключи и пароли.
2) CVE-2020-5902 - уязвимость в прокси-серверах и балансировщиках нагрузки F5 BIG-IP. Traffic Management User Interface (TMUI), также известный как Configuration utility, язвим к удаленному выполнению кода. С помощью уязвимости злоумышленник может захватить контроль над устройством BIG-IP.
3) CVE-2019-19781 - уязвимость обхода каталога в Citrix Application Delivery Controller (ADC) и Gateway, позволяющая удаленно выполнить код без необходимости вводить учетные данные для устройства.
4+5+6) CVE-2020-8193, CVE-2020-8195, CVE-2020-8196 - еще одна связка уязвимостей в Citrix ADC и Gateway, которая также затрагивает системы SDWAN WAN-OP. Уязвимости позволяют получить неавторизованный доступ к определенным конечным точкам URL и раскрыть информацию пользователю с низкими привилегиями.
7) CVE-2019-0708 (BlueKeep) - уязвимость удаленного выполнения кода в Remote Desktop Services в ОС Windows.
8) CVE-2020-15505 - уязвимость удаленного выполнения кода в ПО MobileIron, позволяющая злоумышленнику захватить контроль над серверами компании.
9) CVE-2020-1350 (SIGRed) - уязвимость удаленного выполнения кода в Windows Domain Name System, существующая из-за недостаточной проверки запросов.
10) CVE-2020-1472 (Zerologon) - уязвимость повышения привилегий, возникающая, когда атакующий устанавливает соединение с контроллером домена по уязвимому каналу Netlogon с помощью протокола Netlogon Remote Protocol (MS-NRPC).
11) CVE-2019-1040 - уязвимость в Microsoft Windows, позволяющая осуществить атаку "человек посередине" и обойти защиту NTLM MIC (Message Integrity Check).
12) CVE-2018-6789 - уязвимость, позволяющая отправить особым образом сконфигурированное сообщение агенту доставки почты Exim, вызвать переполнение буфера, удаленно выполнить код и захватить контроль над почтовым сервером.
13) CVE-2020-0688 - уязвимость удаленного выполнения кода в Microsoft Exchange, существующая из-за неспособности ПО должным образом обработать объекты в памяти.
14) CVE-2018-4939 - уязвимость десереализации и недоверенных данных в некоторых версиях Adobe ColdFusion, позволяющая удаленно выполнить код.
15) CVE-2015-4852 - компонент WLS Security в Oracle WebLogic 15 Server позволяет удаленному атакующему выполнять произвольные команды с помощью особым образом сконфигурированного сериализованного объекта Java.
16) CVE-2020-2555 - уязвимость в продукте Oracle Coherence в Oracle Fusion Middleware, позволяющая неавторизованному атакующему с доступом к сети через T3 скомпрометировать системы Oracle Coherence.
17) CVE-2019-3396 - макрос Widget Connector в Atlassian Confluence 17 Server позволяет удаленному атакующему обойти каталог и выполнить код на установках Confluence Server и Data Center.
18) CVE-2019-11580 - путем отправки запросов установкам Atlassian Crowd и Crowd Data Center злоумышленник может устанавливать произвольные плагины, позволяющие удаленно выполнить код.
19) CVE-2020-10189 - Zoho ManageEngine Desktop Central позволяет удаленное выполнение кода из-за десериализации и недоверенных данных.
20) CVE-2019-18935 - Progress Telerik UI для ASP.NET AJAX содержит уязвимость десериализации в.NET, позволяющую удаленное выполнение кода.
21) CVE-2020-0601 (CurveBall) - уязвимость спуфинга в Windows CryptoAPI (Crypt32.dll), возникающая из-за того, как Crypt32.dll проверяет подлинность сертификатов Elliptic Curve Cryptography (ECC). С помощью поддельного сертификата для подписи кода атакующий может подписать вредоносный исполняемый файл и выдать его за файл из доверенного источника.
22) CVE-2019-0803 - уязвимость повышения привилегий в Windows, возникающая, когда компонент Win32k не способен должным образом обработать объекты в памяти.
23) CVE-2017-6327 - уязвимость удаленного выполнения кода в Symantec Messaging Gateway.
24) CVE-2020-3118 - уязвимость удаленного выполнения кода и перезагрузки в реализации Cisco Discovery Protocol для Cisco IOS XR.
25) CVE-2020-8515 - уязвимость в устройствах DrayTek Vigor, позволяющая неавторизованному злоумышленнику удаленно выполнить код с привилегиями суперпользователя.
