Yaakov's Group | Ciberseguridad

La NSA publica una lista de las principales vulnerabilidades actualmente atacadas por los piratas informáticos chinos

Comparte este post en tus redes sociales

La NSA insta al sector público y privado de EE. UU. A aplicar parches o mitigaciones para prevenir ataques.

La Agencia de Seguridad Nacional de EE. UU. Ha publicado hoy un informe en profundidad que detalla las 25 principales vulnerabilidades que actualmente están siendo escaneadas, atacadas y explotadas constantemente por grupos de piratería informática patrocinados por el estado chino.

Los 25 errores de seguridad son bien conocidos y tienen parches disponibles de sus proveedores, listos para ser instalados.

Los exploits para muchas vulnerabilidades también están disponibles públicamente. Algunos han sido explotados por más que hackers chinos, y también se han incorporado al arsenal de bandas de ransomware, grupos de malware de bajo nivel y actores estatales de otros países (es decir, Rusia e Irán).

«La mayoría de las vulnerabilidades enumeradas a continuación pueden explotarse para obtener acceso inicial a las redes de las víctimas utilizando productos a los que se puede acceder directamente desde Internet y actúan como puertas de enlace a las redes internas», dijo hoy la NSA.

La agencia de ciberseguridad de EE. UU. Insta a las organizaciones del sector público y privado de EE. UU. A parchear los sistemas para las vulnerabilidades que se enumeran a continuación.

Éstos incluyen:

1) CVE-2019-11510: en los servidores Pulse Secure VPN, un atacante remoto no autenticado puede enviar un URI especialmente diseñado para realizar una vulnerabilidad de lectura de archivos arbitraria. Esto puede provocar la exposición de claves o contraseñas.

2) CVE-2020-5902: en proxies F5 BIG-IP y balanceador de carga, la interfaz de usuario de gestión de tráfico (TMUI), también conocida como la utilidad de configuración, es vulnerable a una vulnerabilidad de ejecución remota de código (RCE) que puede permitir atacantes para apoderarse de todo el dispositivo BIG-IP.

3) CVE-2019-19781: los sistemas Citrix Application Delivery Controller (ADC) y Gateway son vulnerables a un error de recorrido de directorio, que puede llevar a la ejecución remota de código sin que el atacante tenga que poseer credenciales válidas para el dispositivo. Estos dos problemas se pueden encadenar para hacerse cargo de los sistemas Citrix.

4 + 5 + 6) CVE-2020-8193, CVE-2020-8195, CVE-2020-8196: otro conjunto de errores de Citrix ADC y Gateway. Estos también afectan a los sistemas SDWAN WAN-OP. Los tres errores permiten el acceso no autenticado a ciertos puntos finales de URL y la divulgación de información a usuarios con pocos privilegios.

7) CVE-2019-0708 (también conocido como BlueKeep): existe una vulnerabilidad de ejecución remota de código dentro de los Servicios de escritorio remoto en los sistemas operativos Windows.

8) CVE-2020-15505: una vulnerabilidad de ejecución remota de código en el software de administración de dispositivos móviles (MDM) MobileIron que permite a atacantes remotos ejecutar código arbitrario y hacerse cargo de los servidores remotos de la empresa.

9) CVE-2020-1350 (también conocido como SIGRed): existe una vulnerabilidad de ejecución remota de código en los servidores del Sistema de nombres de dominio de Windows cuando no pueden manejar adecuadamente las solicitudes.

10) CVE-2020-1472 (también conocido como Netlogon): existe una vulnerabilidad de elevación de privilegios cuando un atacante establece una conexión de canal seguro Netlogon vulnerable a un controlador de dominio mediante el protocolo remoto Netlogon (MS-NRPC).

11) CVE-2019-1040: existe una vulnerabilidad de manipulación en Microsoft Windows cuando un atacante de intermediario puede eludir con éxito la protección NTLM MIC (verificación de integridad de mensajes).

12) CVE-2018-6789: enviar un mensaje hecho a mano a un agente de transferencia de correo de Exim puede provocar un desbordamiento del búfer. Esto se puede utilizar para ejecutar código de forma remota y hacerse cargo de los servidores de correo electrónico.

13) CVE-2020-0688: existe una vulnerabilidad de ejecución remota de código en el software Microsoft Exchange cuando el software no puede manejar correctamente los objetos en la memoria.

14) CVE-2018-4939: ciertas versiones de Adobe ColdFusion tienen una vulnerabilidad explotable de deserialización de datos no confiables. La explotación exitosa podría conducir a la ejecución de código arbitrario.

15) CVE-2015-4852: el componente de seguridad WLS en Oracle WebLogic 15 Server permite a atacantes remotos ejecutar comandos arbitrarios a través de un objeto Java serializado diseñado

16) CVE-2020-2555: existe una vulnerabilidad en el producto Oracle Coherence de Oracle Fusion Middleware. Esta vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de T3 comprometer los sistemas Oracle Coherence.

17) CVE-2019-3396: la macro Widget Connector en Atlassian Confluence 17 Server permite a los atacantes remotos lograr un recorrido de ruta y una ejecución remota de código en una instancia de Confluence Server o Data Center a través de la inyección de plantilla del lado del servidor.

18) CVE-2019-11580: los atacantes que pueden enviar solicitudes a una instancia de Atlassian Crowd o Crowd Data Center pueden aprovechar esta vulnerabilidad para instalar complementos arbitrarios, lo que permite la ejecución remota de código.

19) CVE-2020-10189: Zoho ManageEngine Desktop Central permite la ejecución remota de código debido a la deserialización de datos que no son de confianza.

20) CVE-2019-18935 – Progress Telerik UI para ASP.NET AJAX contiene una vulnerabilidad de deserialización de .NET. La explotación puede resultar en la ejecución remota de código.

21) CVE-2020-0601 (también conocido como CurveBall): existe una vulnerabilidad de suplantación de identidad en la forma en que Windows CryptoAPI (Crypt32.dll) valida los certificados de criptografía de curva elíptica (ECC). Un atacante podría aprovechar la vulnerabilidad mediante el uso de un certificado de firma de código falsificado para firmar un ejecutable malicioso, haciendo que parezca que el archivo proviene de una fuente legítima y confiable.

22) CVE-2019-0803: existe una vulnerabilidad de elevación de privilegios en Windows cuando el componente Win32k no puede manejar correctamente los objetos en la memoria.

23) CVE-2017-6327: Symantec Messaging Gateway puede encontrar un problema de ejecución remota de código.

24) CVE-2020-3118: una vulnerabilidad en la implementación del Protocolo de descubrimiento de Cisco para el software Cisco IOS XR podría permitir que un atacante adyacente no autenticado ejecute código arbitrario o provoque la recarga de un dispositivo afectado.

25) CVE-2020-8515 – Los dispositivos DrayTek Vigor permiten la ejecución remota de código como root (sin autenticación) a través de metacaracteres de shell.

Fuente: ZDNET