Wat zijn de belangrijkste kwetsbaarheden voor websites en apps?

De Amerikaanse National Security Agency (NSA) heeft vandaag een diepgaand rapport gepubliceerd met daarin de top 25 kwetsbaarheden die momenteel consequent worden gescand, gericht en uitgebuit door door de Chinese staat gesponsorde hackgroepen.

Alle 25 beveiligingsbugs zijn bekend en er zijn patches beschikbaar bij hun leveranciers, klaar om te worden geïnstalleerd.

Exploits voor veel kwetsbaarheden zijn ook openbaar beschikbaar. Sommige zijn niet alleen door Chinese hackers uitgebuit, maar zijn ook opgenomen in het arsenaal aan ransomwarebendes, malwaregroepen op laag niveau en nationale actoren uit andere landen (dwz Rusland en Iran).

“De meeste van de hieronder genoemde kwetsbaarheden kunnen worden uitgebuit om initiële toegang te krijgen tot slachtoffernetwerken met behulp van producten die rechtstreeks toegankelijk zijn vanaf internet en fungeren als toegangspoort tot interne netwerken”, aldus de NSA vandaag.

Het Amerikaanse cyberveiligheidsagentschap dringt er bij organisaties in de Amerikaanse publieke en private sector op aan om systemen te patchen voor de hieronder genoemde kwetsbaarheden.

Deze omvatten:

1) CVE-2019-11510 – Op Pulse Secure VPN-servers kan een niet-geverifieerde externe aanvaller een speciaal vervaardigde URI sturen om een ​​willekeurige kwetsbaarheid voor het lezen van bestanden uit te voeren. Dit kan leiden tot het openbaar maken van sleutels of wachtwoorden

2) CVE-2020-5902 – Op F5 BIG-IP-proxy's en load balancer is de Traffic Management User Interface (TMUI) – ook wel het configuratiehulpprogramma genoemd – kwetsbaar voor een Remote Code Execution (RCE)-kwetsbaarheid waardoor externe aanvallers om het volledige BIG-IP-apparaat over te nemen.

3) CVE-2019-19781 – Citrix Application Delivery Controller (ADC) en Gateway-systemen zijn kwetsbaar voor een directory traversal-bug, die kan leiden tot uitvoering van code op afstand zonder dat de aanvaller over geldige inloggegevens voor het apparaat hoeft te beschikken. Deze twee problemen kunnen aan elkaar worden gekoppeld om Citrix-systemen over te nemen.

4+5+6) CVE-2020-8193, CVE-2020-8195, CVE-2020-8196 – Nog een reeks Citrix ADC- en Gateway-bugs. Deze hebben ook invloed op SDWAN WAN-OP-systemen. De drie bugs zorgen voor niet-geverifieerde toegang tot bepaalde URL-eindpunten en het vrijgeven van informatie aan gebruikers met weinig rechten.

7) CVE-2019-0708 (ook bekend als BlueKeep) – Er bestaat een kwetsbaarheid voor het uitvoeren van externe code binnen Remote Desktop Services op Windows-besturingssystemen.

8) CVE-2020-15505 – Een kwetsbaarheid voor het uitvoeren van externe code in de MobileIron Mobile Device Management (MDM)-software waarmee externe aanvallers willekeurige code kunnen uitvoeren en externe bedrijfsservers kunnen overnemen.

9) CVE-2020-1350 (ook bekend als SIGRed) – Er bestaat een kwetsbaarheid voor het uitvoeren van externe code op Windows Domain Name System-servers wanneer deze er niet in slagen verzoeken correct af te handelen.

10) CVE-2020-1472 (ook bekend als Netlogon) – Er bestaat een beveiligingslek met betrekking tot misbruik van bevoegdheden wanneer een aanvaller een kwetsbare Netlogon-beveiligde kanaalverbinding met een domeincontroller tot stand brengt met behulp van het Netlogon Remote Protocol (MS-NRPC).

11) CVE-2019-1040 – Er bestaat een kwetsbaarheid voor manipulatie in Microsoft Windows wanneer een man-in-the-middle-aanvaller erin slaagt de NTLM MIC-beveiliging (Message Integrity Check) te omzeilen.

12) CVE-2018-6789 – Het verzenden van een handgemaakt bericht naar een Exim-mailoverdrachtagent kan een bufferoverloop veroorzaken. Dit kan worden gebruikt om op afstand code uit te voeren en e-mailservers over te nemen.

13) CVE-2020-0688 – Er bestaat een kwetsbaarheid voor het uitvoeren van externe code in Microsoft Exchange-software wanneer de software er niet in slaagt objecten in het geheugen correct te verwerken.

14) CVE-2018-4939 – Bepaalde Adobe ColdFusion-versies hebben een exploiteerbare kwetsbaarheid voor deserialisatie van niet-vertrouwde gegevens. Succesvolle exploitatie kan leiden tot uitvoering van willekeurige code.

15) CVE-2015-4852 – Met de WLS Security-component in Oracle WebLogic 15 Server kunnen aanvallers op afstand willekeurige opdrachten uitvoeren via een vervaardigd geserialiseerd Java-object

16) CVE-2020-2555 – Er bestaat een kwetsbaarheid in het Oracle Coherence-product van Oracle Fusion Middleware. Door deze gemakkelijk te exploiteren kwetsbaarheid kan een niet-geverifieerde aanvaller met netwerktoegang via T3 Oracle Coherence-systemen binnendringen.

17) CVE-2019-3396 – Met de Widget Connector-macro in Atlassian Confluence 17 Server kunnen externe aanvallers paden doorlopen en externe code uitvoeren op een Confluence Server- of Data Center-instantie via sjablooninjectie aan de serverzijde.

18) CVE-2019-11580 – Aanvallers die verzoeken kunnen sturen naar een Atlassian Crowd- of Crowd Data Center-instantie kunnen dit beveiligingslek misbruiken om willekeurige plug-ins te installeren, waardoor uitvoering van externe code mogelijk is.

19) CVE-2020-10189 – Zoho ManageEngine Desktop Central maakt uitvoering van code op afstand mogelijk vanwege deserialisatie van niet-vertrouwde gegevens.

20) CVE-2019-18935 – Progress Telerik UI voor ASP.NET AJAX bevat een .NET-deserialisatiekwetsbaarheid. Exploitatie kan resulteren in het uitvoeren van code op afstand.

21) CVE-2020-0601 (ook bekend als CurveBall) – Er bestaat een spoofing-kwetsbaarheid in de manier waarop Windows CryptoAPI (Crypt32.dll) Elliptic Curve Cryptography (ECC)-certificaten valideert. Een aanvaller kan misbruik maken van het beveiligingslek door een vervalst certificaat voor codeondertekening te gebruiken om een ​​kwaadaardig uitvoerbaar bestand te ondertekenen, waardoor het lijkt alsof het bestand afkomstig is van een vertrouwde, legitieme bron.

22) CVE-2019-0803 – Er bestaat een kwetsbaarheid voor misbruik van bevoegdheden in Windows wanneer de Win32k-component er niet in slaagt objecten in het geheugen correct te verwerken.

23) CVE-2017-6327 – De Symantec Messaging Gateway kan een probleem ondervinden bij het uitvoeren van externe code.

24) CVE-2020-3118 – Een kwetsbaarheid in de Cisco Discovery Protocol-implementatie voor Cisco IOS XR-software kan een niet-geverifieerde, aangrenzende aanvaller in staat stellen willekeurige code uit te voeren of een getroffen apparaat opnieuw te laden.

25) CVE-2020-8515 – DrayTek Vigor-apparaten maken uitvoering van code op afstand mogelijk als root (zonder authenticatie) via shell-metakarakters.

Lees meer hier.