Quali sono le principali vulnerabilità per siti Web e app?

La National Security Agency (NSA) degli Stati Uniti ha pubblicato oggi un rapporto approfondito che descrive in dettaglio le 25 principali vulnerabilità che vengono attualmente costantemente scansionate, prese di mira e sfruttate dai gruppi di hacking sponsorizzati dallo stato cinese.

Tutti i 25 bug di sicurezza sono ben noti e dispongono di patch disponibili presso i rispettivi fornitori, pronte per essere installate.

Anche gli exploit per molte vulnerabilità sono disponibili pubblicamente. Alcuni sono stati sfruttati non solo da hacker cinesi, ma sono stati incorporati anche nell'arsenale di bande di ransomware, gruppi di malware di basso livello e attori statali di altri paesi (ad esempio Russia e Iran).

"La maggior parte delle vulnerabilità elencate di seguito possono essere sfruttate per ottenere l'accesso iniziale alle reti delle vittime utilizzando prodotti direttamente accessibili da Internet e che fungono da gateway per le reti interne", ha affermato oggi la NSA.

L’agenzia statunitense per la sicurezza informatica esorta le organizzazioni del settore pubblico e privato statunitense ad applicare patch ai sistemi per le vulnerabilità elencate di seguito.

Questi includono:

1) CVE-2019-11510 – Sui server Pulse Secure VPN, un utente malintenzionato remoto non autenticato può inviare un URI appositamente predisposto per eseguire una vulnerabilità di lettura di file arbitraria. Ciò potrebbe portare all'esposizione di chiavi o password

2) CVE-2020-5902 – Sui proxy F5 BIG-IP e sul sistema di bilanciamento del carico, l'interfaccia utente di gestione del traffico (TMUI), denominata anche utilità di configurazione, è vulnerabile a una vulnerabilità RCE (Remote Code Execution) che può consentire aggressori per impossessarsi dell'intero dispositivo BIG-IP.

3) CVE-2019-19781 – I sistemi Citrix Application Delivery Controller (ADC) e Gateway sono vulnerabili a un bug di attraversamento della directory, che può portare all'esecuzione di codice in modalità remota senza che l'aggressore debba possedere credenziali valide per il dispositivo. Questi due problemi possono essere concatenati per prendere il sopravvento sui sistemi Citrix.

4+5+6) CVE-2020-8193, CVE-2020-8195, CVE-2020-8196 – Un'altra serie di bug Citrix ADC e Gateway. Questi hanno un impatto anche sui sistemi SDWAN WAN-OP. I tre bug consentono l'accesso non autenticato a determinati endpoint URL e la divulgazione di informazioni a utenti con privilegi limitati.

7) CVE-2019-0708 (aka BlueKeep) – Esiste una vulnerabilità legata all'esecuzione di codice in modalità remota all'interno dei Servizi Desktop remoto sui sistemi operativi Windows.

8) CVE-2020-15505 – Una vulnerabilità legata all'esecuzione di codice in modalità remota nel software di gestione dei dispositivi mobili (MDM) MobileIron che consente agli aggressori remoti di eseguire codice arbitrario e assumere il controllo dei server aziendali remoti.

9) CVE-2020-1350 (aka SIGRed) – Esiste una vulnerabilità legata all'esecuzione di codice in modalità remota nei server Windows Domain Name System quando non riescono a gestire correttamente le richieste.

10) CVE-2020-1472 (aka Netlogon) – Esiste una vulnerabilità di elevazione dei privilegi quando un utente malintenzionato stabilisce una connessione vulnerabile del canale sicuro Netlogon a un controller di dominio utilizzando il Netlogon Remote Protocol (MS-NRPC).

11) CVE-2019-1040 – Esiste una vulnerabilità di manomissione in Microsoft Windows quando un utente malintenzionato man-in-the-middle è in grado di bypassare con successo la protezione NTLM MIC (Message Integrity Check).

12) CVE-2018-6789 – L'invio di un messaggio artigianale a un agente di trasferimento della posta Exim può causare un overflow del buffer. Questo può essere utilizzato per eseguire codice in remoto e assumere il controllo dei server di posta elettronica.

13) CVE-2020-0688 – Esiste una vulnerabilità legata all'esecuzione di codice in modalità remota nel software Microsoft Exchange quando il software non riesce a gestire correttamente gli oggetti in memoria.

14) CVE-2018-4939 – Alcune versioni di Adobe ColdFusion presentano una vulnerabilità sfruttabile relativa alla deserializzazione dei dati non attendibili. Uno sfruttamento riuscito potrebbe portare all'esecuzione di codice arbitrario.

15) CVE-2015-4852 – Il componente WLS Security in Oracle WebLogic 15 Server consente agli aggressori remoti di eseguire comandi arbitrari tramite un oggetto Java serializzato predisposto

16) CVE-2020-2555 – Esiste una vulnerabilità nel prodotto Oracle Coherence di Oracle Fusion Middleware. Questa vulnerabilità facilmente sfruttabile consente ad un utente malintenzionato non autenticato con accesso alla rete tramite T3 di compromettere i sistemi Oracle Coherence.

17) CVE-2019-3396 – La macro Widget Connector in Atlassian Confluence 17 Server consente agli aggressori remoti di ottenere l'attraversamento del percorso e l'esecuzione di codice remoto su un'istanza di Confluence Server o Data Center tramite iniezione di modelli lato server.

18) CVE-2019-11580 – Gli aggressori che possono inviare richieste a un'istanza Atlassian Crowd o Crowd Data Center possono sfruttare questa vulnerabilità per installare plug-in arbitrari, che consentono l'esecuzione di codice in modalità remota.

19) CVE-2020-10189 – Zoho ManageEngine Desktop Central consente l'esecuzione di codice remoto a causa della deserializzazione di dati non attendibili.

20) CVE-2019-18935 – L'interfaccia utente di Progress Telerik per ASP.NET AJAX contiene una vulnerabilità di deserializzazione .NET. Lo sfruttamento può comportare l'esecuzione di codice in modalità remota.

21) CVE-2020-0601 (aka CurveBall) – Esiste una vulnerabilità di spoofing nel modo in cui Windows CryptoAPI (Crypt32.dll) convalida i certificati Elliptic Curve Cryptography (ECC). Un utente malintenzionato potrebbe sfruttare la vulnerabilità utilizzando un certificato di firma del codice contraffatto per firmare un eseguibile dannoso, facendo sembrare che il file provenga da una fonte attendibile e legittima.

22) CVE-2019-0803 – In Windows esiste una vulnerabilità legata all'elevazione dei privilegi quando il componente Win32k non riesce a gestire correttamente gli oggetti in memoria.

23) CVE-2017-6327 – Symantec Messaging Gateway può riscontrare un problema di esecuzione del codice in modalità remota.

24) CVE-2020-3118 – Una vulnerabilità nell'implementazione del protocollo Cisco Discovery per il software Cisco IOS XR potrebbe consentire a un utente malintenzionato adiacente non autenticato di eseguire codice arbitrario o causare il ricaricamento di un dispositivo interessato.

25) CVE-2020-8515 – I dispositivi DrayTek Vigor consentono l'esecuzione di codice remoto come root (senza autenticazione) tramite metacaratteri della shell.

Per saperne di più qui.