რა არის ყველაზე მოწყვლადები ვებსაიტებისა და აპებისთვის?

აშშ-ს ეროვნული უსაფრთხოების სააგენტომ (NSA) დღეს გამოაქვეყნა სიღრმისეული ანგარიში, სადაც დეტალურადაა აღწერილი 25 ყველაზე დაუცველობა, რომლებიც ამჟამად მუდმივად სკანირდება, მიზანმიმართულია და გამოიყენება ჩინეთის სახელმწიფოს მიერ დაფინანსებული ჰაკერული ჯგუფების მიერ.

უსაფრთხოების 25-ვე ხარვეზი კარგად არის ცნობილი და აქვს პატჩები, რომლებიც ხელმისაწვდომია მათი მომწოდებლებისგან, რომლებიც მზად არიან დასაყენებლად.

ბევრი დაუცველობისთვის ექსპლოიტები ასევე ხელმისაწვდომია საჯაროდ. ზოგიერთი მათგანის ექსპლუატაცია მოხდა არა მხოლოდ ჩინელი ჰაკერების მიერ, ისინი ასევე ჩართულია გამოსასყიდი პროგრამების ბანდების, დაბალი დონის მავნე პროგრამების ჯგუფებისა და სხვა ქვეყნებიდან (ანუ, რუსეთი და ირანი) ნაციონალური სახელმწიფოების არსენალში.

„ქვემოთ ჩამოთვლილი დაუცველობების უმეტესი ნაწილი შეიძლება გამოყენებულ იქნას მსხვერპლის ქსელებზე თავდაპირველი წვდომის მისაღებად პროდუქტების გამოყენებით, რომლებიც პირდაპირ ხელმისაწვდომია ინტერნეტიდან და მოქმედებენ როგორც კარიბჭე შიდა ქსელებში“, - თქვა დღეს NSA-მ.

აშშ-ის კიბერუსაფრთხოების სააგენტო მოუწოდებს ორგანიზაციებს აშშ-ს საჯარო და კერძო სექტორში, გაასწორონ სისტემები ქვემოთ ჩამოთვლილი დაუცველობისთვის.

ესენია:

1) CVE-2019-11510 – Pulse Secure VPN სერვერებზე, არაავთენტიფიცირებულ დისტანციურ თავდამსხმელს შეუძლია გაგზავნოს სპეციალურად შექმნილი URI ფაილის თვითნებური წაკითხვის დაუცველობის შესასრულებლად. ამან შეიძლება გამოიწვიოს გასაღებების ან პაროლების გამოვლენა

2) CVE-2020-5902 – F5 BIG-IP პროქსიებსა და დატვირთვის ბალანსერზე, ტრაფიკის მართვის მომხმარებლის ინტერფეისი (TMUI) - ასევე მოხსენიებული, როგორც კონფიგურაციის პროგრამა - დაუცველია დისტანციური კოდის შესრულების (RCE) დაუცველობის მიმართ, რომელსაც შეუძლია დაუშვას დისტანციური მართვა თავდამსხმელებმა დაიკავონ მთელი BIG-IP მოწყობილობა.

3) CVE-2019-19781 – Citrix Application Delivery Controller (ADC) და Gateway სისტემები დაუცველია დირექტორიაში გადაადგილების შეცდომის მიმართ, რამაც შეიძლება გამოიწვიოს კოდის დისტანციური შესრულება ისე, რომ თავდამსხმელს არ ჰქონდეს მოქმედი სერთიფიკატები მოწყობილობისთვის. ეს ორი საკითხი შეიძლება იყოს მიჯაჭვული Citrix სისტემების ხელში ჩასაგდებად.

4+5+6) CVE-2020-8193, CVE-2020-8195, CVE-2020-8196 – Citrix ADC და Gateway შეცდომების კიდევ ერთი ნაკრები. ეს ასევე გავლენას ახდენს SDWAN WAN-OP სისტემებზე. სამი ხარვეზი იძლევა არაავთენტიფიცირებულ წვდომას გარკვეულ URL-ის საბოლოო წერტილებზე და ინფორმაციის გამჟღავნებას დაბალი პრივილეგირებულ მომხმარებლებს.

7) CVE-2019-0708 (aka BlueKeep) – დისტანციური კოდის შესრულების დაუცველობა არსებობს Windows ოპერაციულ სისტემებზე Remote Desktop Services-ში.

8) CVE-2020-15505 – დისტანციური კოდის შესრულების დაუცველობა MobileIron მობილური მოწყობილობების მართვის (MDM) პროგრამულ უზრუნველყოფაში, რომელიც დისტანციურ თავდამსხმელებს საშუალებას აძლევს შეასრულონ თვითნებური კოდი და დაიკავონ კომპანიის დისტანციური სერვერები.

9) CVE-2020-1350 (aka SIGRed) – დისტანციური კოდის შესრულების დაუცველობა არსებობს Windows Domain Name System სერვერებში, როდესაც ისინი ვერ ახერხებენ სათანადოდ დამუშავებას მოთხოვნებს.

10) CVE-2020-1472 (aka Netlogon) – პრივილეგიის დაუცველობის ამაღლება არსებობს, როდესაც თავდამსხმელი ამყარებს დაუცველ Netlogon-ის უსაფრთხო არხს დომენის კონტროლერთან Netlogon დისტანციური პროტოკოლის (MS-NRPC) გამოყენებით.

11) CVE-2019-1040 – ხელყოფის დაუცველობა არსებობს Microsoft Windows-ში, როდესაც ადამიანი შუაში მყოფი თავდამსხმელი შეძლებს წარმატებით გვერდის ავლით NTLM MIC (შეტყობინებების მთლიანობის შემოწმება) დაცვას.

12) CVE-2018-6789 – Exim-ის ფოსტის გადაცემის აგენტისთვის ხელნაკეთი შეტყობინების გაგზავნამ შეიძლება გამოიწვიოს ბუფერის გადინება. ეს შეიძლება გამოყენებულ იქნას კოდის დისტანციურად შესასრულებლად და ელ.ფოსტის სერვერების დასაუფლებლად.

13) CVE-2020-0688 – დისტანციური კოდის შესრულების დაუცველობა არსებობს Microsoft Exchange პროგრამულ უზრუნველყოფაში, როდესაც პროგრამული უზრუნველყოფა ვერ ახერხებს სათანადოდ ამუშავებს ობიექტებს მეხსიერებაში.

14) CVE-2018-4939 – Adobe ColdFusion-ის ზოგიერთ ვერსიას აქვს არასანდო მონაცემთა დაუცველობის დესერიალიზაცია. წარმატებულმა ექსპლუატაციამ შეიძლება გამოიწვიოს კოდის თვითნებური შესრულება.

15) CVE-2015-4852 – WLS Security კომპონენტი Oracle WebLogic 15 სერვერში დისტანციურ თავდამსხმელებს საშუალებას აძლევს შეასრულონ თვითნებური ბრძანებები შემუშავებული სერიული Java ობიექტის მეშვეობით.

16) CVE-2020-2555 – დაუცველობა არსებობს Oracle Fusion Middleware-ის Oracle Coherence პროდუქტში. ეს ადვილად ექსპლუატირებადი დაუცველობა საშუალებას აძლევს არაავთენტიფიცირებულ თავდამსხმელს, რომელსაც აქვს ქსელში წვდომა T3-ის საშუალებით, დაარღვიოს Oracle Coherence სისტემები.

17) CVE-2019-3396 – ვიჯეტის დამაკავშირებელი მაკრო Atlassian Confluence 17 სერვერში დისტანციურ თავდამსხმელებს საშუალებას აძლევს მიაღწიონ ბილიკის გავლას და დისტანციური კოდის შესრულებას Confluence სერვერზე ან მონაცემთა ცენტრის მაგალითზე, სერვერის მხრიდან შაბლონის ინექციის საშუალებით.

18) CVE-2019-11580 – თავდამსხმელებს, რომლებსაც შეუძლიათ გაგზავნონ მოთხოვნები Atlassian Crowd-ის ან Crowd Data Center-ის მაგალითზე, შეუძლიათ გამოიყენონ ეს დაუცველობა თვითნებური დანამატების დასაყენებლად, რაც იძლევა კოდის დისტანციური შესრულების საშუალებას.

19) CVE-2020-10189 – Zoho ManageEngine Desktop Central საშუალებას აძლევს კოდის დისტანციურად შესრულებას არასანდო მონაცემების დესერიალიზაციის გამო.

20) CVE-2019-18935 – Progress Telerik UI ASP.NET AJAX-ისთვის შეიცავს .NET დესერიალიზაციის დაუცველობას. ექსპლუატაციამ შეიძლება გამოიწვიოს კოდის დისტანციური შესრულება.

21) CVE-2020-0601 (aka CurveBall) – არსებობს გაყალბების დაუცველობა Windows CryptoAPI (Crypt32.dll) ამოწმებს ელიფსური მრუდის კრიპტოგრაფიის (ECC) სერთიფიკატებს. თავდამსხმელს შეეძლო გამოეყენებინა დაუცველობა გაყალბებული კოდის ხელმოწერის სერთიფიკატის გამოყენებით მავნე შესრულებადზე ხელმოწერისთვის, რაც ცხადყოფს, რომ ფაილი იყო სანდო, ლეგიტიმური წყაროდან.

22) CVE-2019-0803 – პრივილეგიების დაუცველობის ამაღლება არსებობს Windows-ში, როდესაც Win32k კომპონენტი ვერ ახერხებს სათანადოდ ამუშავებს ობიექტებს მეხსიერებაში.

23) CVE-2017-6327 – Symantec Messaging Gateway-ს შეიძლება წააწყდეს კოდის დისტანციური შესრულების პრობლემა.

24) CVE-2020-3118 – დაუცველობამ Cisco Discovery Protocol-ის იმპლემენტაციაში Cisco IOS XR პროგრამული უზრუნველყოფისთვის შეიძლება დაუშვას არაავთენტიფიცირებულ, მიმდებარე თავდამსხმელს, შეასრულოს თვითნებური კოდი ან გამოიწვიოს დაზარალებული მოწყობილობის გადატვირთვა.

25) CVE-2020-8515 – DrayTek Vigor მოწყობილობები იძლევიან კოდის დისტანციურად შესრულებას root-ის სახით (ავთენტიფიკაციის გარეშე) ჭურვის მეტა სიმბოლოების მეშვეობით.

წაიკითხე მეტი აქ დაწკაპუნებით.