¿Cuáles son las principales vulnerabilidades de sitios web y aplicaciones?

La Agencia de Seguridad Nacional (NSA) de EE. UU. ha publicado hoy un informe detallado que detalla las 25 principales vulnerabilidades que actualmente están siendo escaneadas, atacadas y explotadas constantemente por grupos de hackers patrocinados por el estado chino.

Los 25 errores de seguridad son bien conocidos y tienen parches disponibles de sus proveedores, listos para ser instalados.

Los exploits para muchas vulnerabilidades también están disponibles públicamente. Algunos han sido explotados por algo más que hackers chinos, y también han sido incorporados al arsenal de bandas de ransomware, grupos de malware de bajo nivel y actores estatales de otros países (es decir, Rusia e Irán).

"La mayoría de las vulnerabilidades enumeradas a continuación pueden explotarse para obtener acceso inicial a las redes de las víctimas utilizando productos a los que se puede acceder directamente desde Internet y que actúan como puertas de entrada a las redes internas", dijo hoy la NSA.

La agencia de seguridad cibernética de EE. UU. insta a las organizaciones del sector público y privado de EE. UU. a parchear los sistemas para las vulnerabilidades que se enumeran a continuación.

Éstos incluyen:

1) CVE-2019-11510: en los servidores Pulse Secure VPN, un atacante remoto no autenticado puede enviar un URI especialmente diseñado para realizar una vulnerabilidad de lectura de archivos arbitraria. Esto puede provocar la exposición de claves o contraseñas.

2) CVE-2020-5902: en los proxies y el equilibrador de carga BIG-IP de F5, la interfaz de usuario de gestión de tráfico (TMUI), también conocida como utilidad de configuración, es vulnerable a una vulnerabilidad de ejecución remota de código (RCE) que puede permitir acceso remoto. atacantes se apoderen de todo el dispositivo BIG-IP.

3) CVE-2019-19781: los sistemas Citrix Application Delivery Controller (ADC) y Gateway son vulnerables a un error de recorrido de directorio, lo que puede provocar la ejecución remota de código sin que el atacante tenga que poseer credenciales válidas para el dispositivo. Estas dos cuestiones pueden encadenarse para apoderarse de los sistemas Citrix.

4+5+6) CVE-2020-8193, CVE-2020-8195, CVE-2020-8196: otro conjunto de errores de Citrix ADC y Gateway. Estos también afectan a los sistemas SDWAN WAN-OP. Los tres errores permiten el acceso no autenticado a ciertos puntos finales de URL y la divulgación de información a usuarios con pocos privilegios.

7) CVE-2019-0708 (también conocido como BlueKeep): existe una vulnerabilidad de ejecución remota de código dentro de los Servicios de Escritorio remoto en los sistemas operativos Windows.

8) CVE-2020-15505: una vulnerabilidad de ejecución remota de código en el software de administración de dispositivos móviles (MDM) MobileIron que permite a atacantes remotos ejecutar código arbitrario y apoderarse de servidores remotos de la empresa.

9) CVE-2020-1350 (también conocido como SIGRed): existe una vulnerabilidad de ejecución remota de código en los servidores del Sistema de nombres de dominio de Windows cuando no manejan adecuadamente las solicitudes.

10) CVE-2020-1472 (también conocido como Netlogon): existe una vulnerabilidad de elevación de privilegios cuando un atacante establece una conexión de canal seguro de Netlogon vulnerable a un controlador de dominio mediante el protocolo remoto de Netlogon (MS-NRPC).

11) CVE-2019-1040: existe una vulnerabilidad de manipulación en Microsoft Windows cuando un atacante intermediario puede eludir con éxito la protección NTLM MIC (Comprobación de integridad de mensajes).

12) CVE-2018-6789: enviar un mensaje elaborado a mano a un agente de transferencia de correo Exim puede provocar un desbordamiento del búfer. Esto se puede utilizar para ejecutar código de forma remota y hacerse cargo de los servidores de correo electrónico.

13) CVE-2020-0688: existe una vulnerabilidad de ejecución remota de código en el software Microsoft Exchange cuando el software no logra manejar correctamente los objetos en la memoria.

14) CVE-2018-4939: ciertas versiones de Adobe ColdFusion tienen una vulnerabilidad de deserialización de datos no confiables explotable. Una explotación exitosa podría conducir a la ejecución de código arbitrario.

15) CVE-2015-4852: el componente de seguridad WLS en Oracle WebLogic 15 Server permite a atacantes remotos ejecutar comandos arbitrarios a través de un objeto Java serializado diseñado

16) CVE-2020-2555: existe una vulnerabilidad en el producto Oracle Coherence de Oracle Fusion Middleware. Esta vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red a través de T3 comprometa los sistemas Oracle Coherence.

17) CVE-2019-3396: la macro Widget Connector en Atlassian Confluence 17 Server permite a atacantes remotos lograr recorrido de ruta y ejecución remota de código en una instancia de Confluence Server o Data Center mediante la inyección de plantilla del lado del servidor.

18) CVE-2019-11580: los atacantes que pueden enviar solicitudes a una instancia de Atlassian Crowd o Crowd Data Center pueden aprovechar esta vulnerabilidad para instalar complementos arbitrarios, lo que permite la ejecución remota de código.

19) CVE-2020-10189: Zoho ManageEngine Desktop Central permite la ejecución remota de código debido a la deserialización de datos que no son de confianza.

20) CVE-2019-18935: La interfaz de usuario de Progress Telerik para ASP.NET AJAX contiene una vulnerabilidad de deserialización de .NET. La explotación puede resultar en la ejecución remota de código.

21) CVE-2020-0601 (también conocido como CurveBall): existe una vulnerabilidad de suplantación de identidad en la forma en que Windows CryptoAPI (Crypt32.dll) valida los certificados de criptografía de curva elíptica (ECC). Un atacante podría aprovechar la vulnerabilidad utilizando un certificado de firma de código falsificado para firmar un ejecutable malicioso, haciendo que parezca que el archivo proviene de una fuente legítima y confiable.

22) CVE-2019-0803: existe una vulnerabilidad de elevación de privilegios en Windows cuando el componente Win32k no logra manejar correctamente los objetos en la memoria.

23) CVE-2017-6327: Symantec Messaging Gateway puede encontrar un problema de ejecución remota de código.

24) CVE-2020-3118: una vulnerabilidad en la implementación del protocolo Cisco Discovery para el software Cisco IOS XR podría permitir que un atacante adyacente no autenticado ejecute código arbitrario o provoque una recarga en un dispositivo afectado.

25) CVE-2020-8515: los dispositivos DrayTek Vigor permiten la ejecución remota de código como root (sin autenticación) a través de metacaracteres de shell.

Leer más esta página.