ما هي أهم نقاط الضعف في مواقع الويب والتطبيقات؟

نشرت وكالة الأمن القومي الأمريكية (NSA) اليوم تقريرًا متعمقًا يوضح بالتفصيل أهم 25 نقطة ضعف يتم حاليًا فحصها واستهدافها واستغلالها باستمرار من قبل مجموعات القرصنة الصينية التي ترعاها الدولة.

جميع الأخطاء الأمنية الـ 25 معروفة جيدًا ولديها تصحيحات متاحة من مورديها، جاهزة للتثبيت.

كما أن عمليات استغلال العديد من الثغرات الأمنية متاحة للعامة أيضًا. وقد تم استغلال بعضها من قبل أكثر من مجرد قراصنة صينيين، حيث تم دمجها أيضًا في ترسانة عصابات برامج الفدية، ومجموعات البرامج الضارة منخفضة المستوى، والجهات الفاعلة التابعة لدول قومية من بلدان أخرى (على سبيل المثال، روسيا وإيران).

وقالت وكالة الأمن القومي اليوم: "يمكن استغلال معظم نقاط الضعف المذكورة أدناه للوصول الأولي إلى شبكات الضحايا باستخدام منتجات يمكن الوصول إليها مباشرة من الإنترنت وتكون بمثابة بوابات للشبكات الداخلية".

تحث وكالة الأمن السيبراني الأمريكية المنظمات في القطاعين العام والخاص في الولايات المتحدة على تصحيح الأنظمة لنقاط الضعف المذكورة أدناه.

وتشمل هذه:

1) CVE-2019-11510 – على خوادم Pulse Secure VPN، يمكن لمهاجم بعيد غير مصادق عليه إرسال عنوان URI معد خصيصًا لتنفيذ ثغرة أمنية في قراءة الملفات بشكل عشوائي. قد يؤدي هذا إلى كشف المفاتيح أو كلمات المرور

2) CVE-2020-5902 - في بروكسيات F5 BIG-IP وموازن التحميل، تكون واجهة مستخدم إدارة حركة المرور (TMUI) - والتي يشار إليها أيضًا باسم الأداة المساعدة للتكوين - عرضة لثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد (RCE) التي يمكن أن تسمح بالتحكم عن بعد المهاجمين للسيطرة على جهاز BIG-IP بأكمله.

3) CVE-2019-19781 – تكون وحدة التحكم في تسليم التطبيقات (ADC) وأنظمة البوابة من Citrix عرضة لخطأ اجتياز الدليل، مما قد يؤدي إلى تنفيذ تعليمات برمجية عن بعد دون أن يضطر المهاجم إلى امتلاك بيانات اعتماد صالحة للجهاز. يمكن ربط هاتين المشكلتين بالاستيلاء على أنظمة Citrix.

4+5+6) CVE-2020-8193، CVE-2020-8195، CVE-2020-8196 - مجموعة أخرى من أخطاء Citrix ADC والبوابة. تؤثر هذه أيضًا على أنظمة SDWAN WAN-OP أيضًا. تسمح الأخطاء الثلاثة بالوصول غير المصادق إلى بعض نقاط نهاية URL والكشف عن المعلومات للمستخدمين ذوي الامتيازات المنخفضة.

7) CVE-2019-0708 (المعروف أيضًا باسم BlueKeep) - توجد ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد ضمن خدمات سطح المكتب البعيد على أنظمة تشغيل Windows.

8) CVE-2020-15505 – ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في برنامج إدارة الأجهزة المحمولة MobileIron (MDM) والتي تسمح للمهاجمين عن بعد بتنفيذ تعليمات برمجية عشوائية والاستيلاء على خوادم الشركة البعيدة.

9) CVE-2020-1350 (ويعرف أيضًا باسم SIGRed) – توجد ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في خوادم نظام اسم مجال Windows عندما تفشل في التعامل مع الطلبات بشكل صحيح.

10) CVE-2020-1472 (المعروف أيضًا باسم Netlogon) - توجد ثغرة أمنية مرتفعة عندما يقوم مهاجم بإنشاء اتصال قناة آمنة Netlogon عرضة للخطر إلى وحدة تحكم المجال باستخدام Netlogon Remote Protocol (MS-NRPC).

11) CVE-2019-1040 – توجد ثغرة أمنية للتلاعب في نظام التشغيل Microsoft Windows عندما يتمكن مهاجم وسيط من تجاوز حماية NTLM MIC (التحقق من تكامل الرسائل) بنجاح.

12) CVE-2018-6789 - قد يؤدي إرسال رسالة مصنوعة يدويًا إلى وكيل نقل بريد Exim إلى تجاوز سعة المخزن المؤقت. يمكن استخدام هذا لتنفيذ التعليمات البرمجية عن بعد والسيطرة على خوادم البريد الإلكتروني.

13) CVE-2020-0688 – توجد ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في برنامج Microsoft Exchange عندما يفشل البرنامج في التعامل مع الكائنات الموجودة في الذاكرة بشكل صحيح.

14) CVE-2018-4939 – تحتوي بعض إصدارات Adobe ColdFusion على ثغرة أمنية قابلة للاستغلال في إلغاء تسلسل البيانات غير الموثوقة. قد يؤدي الاستغلال الناجح إلى تنفيذ تعليمات برمجية تعسفية.

15) CVE-2015-4852 - يسمح مكون أمان WLS في Oracle WebLogic 15 Server للمهاجمين عن بعد بتنفيذ أوامر عشوائية عبر كائن Java متسلسل مُصمم

16) CVE-2020-2555 – توجد ثغرة أمنية في منتج Oracle Coherence الخاص ببرنامج Oracle Fusion Middleware. تتيح هذه الثغرة الأمنية سهلة الاستغلال لمهاجم غير مصادق لديه إمكانية الوصول إلى الشبكة عبر T3 لتسوية أنظمة Oracle Coherence.

17) CVE-2019-3396 - يسمح ماكرو Widget Connector في Atlassian Confluence 17 Server للمهاجمين عن بعد بتحقيق اجتياز المسار وتنفيذ التعليمات البرمجية عن بعد على مثيل Confluence Server أو Data Center عبر حقن القالب من جانب الخادم.

18) CVE-2019-11580 – يمكن للمهاجمين الذين يمكنهم إرسال طلبات إلى مثيل Atlassian Crowd أو Crowd Data Center استغلال هذه الثغرة الأمنية لتثبيت مكونات إضافية عشوائية، مما يسمح بتنفيذ التعليمات البرمجية عن بعد.

19) CVE-2020-10189 – يسمح Zoho ManageEngine Desktop Central بتنفيذ التعليمات البرمجية عن بعد بسبب إلغاء تسلسل البيانات غير الموثوق بها.

20) CVE-2019-18935 - تحتوي واجهة مستخدم Telerik لـ ASP.NET AJAX على ثغرة أمنية في إلغاء تسلسل .NET. يمكن أن يؤدي الاستغلال إلى تنفيذ التعليمات البرمجية عن بعد.

21) CVE-2020-0601 (المعروف أيضًا باسم CurveBall) - توجد ثغرة أمنية انتحالية في الطريقة التي يتحقق بها Windows CryptoAPI (Crypt32.dll) من شهادات Elliptic Curve Cryptography (ECC). يمكن للمهاجم استغلال الثغرة الأمنية عن طريق استخدام شهادة توقيع التعليمات البرمجية المخادعة للتوقيع على ملف ضار قابل للتنفيذ، مما يجعل الملف يبدو وكأنه من مصدر شرعي وموثوق.

22) CVE-2019-0803 - توجد ثغرة أمنية مرتفعة في Windows عندما يفشل مكون Win32k في التعامل مع الكائنات الموجودة في الذاكرة بشكل صحيح.

23) CVE-2017-6327 – يمكن أن تواجه Symantec Messaging Gateway مشكلة في تنفيذ التعليمات البرمجية عن بعد.

24) CVE-2020-3118 - قد تسمح ثغرة أمنية في تطبيق Cisco Discovery Protocol لبرنامج Cisco IOS XR لمهاجم مجاور غير مصادق عليه بتنفيذ تعليمات برمجية عشوائية أو التسبب في إعادة تحميل جهاز متأثر.

25) CVE-2020-8515 – تسمح أجهزة DrayTek Vigor بتنفيذ التعليمات البرمجية عن بعد كجذر (بدون مصادقة) عبر أحرف shell الأولية.

المزيد هنا.