Jakie są najczęstsze luki w zabezpieczeniach witryn i aplikacji?

Amerykańska Agencja Bezpieczeństwa Narodowego (NSA) opublikowała dziś szczegółowy raport zawierający szczegółowe informacje na temat 25 najważniejszych luk w zabezpieczeniach, które są obecnie konsekwentnie skanowane, atakowane i wykorzystywane przez sponsorowane przez chińskie państwo grupy hakerskie.

Wszystkie 25 błędów bezpieczeństwa jest dobrze znanych, a ich dostawcy oferują łatki gotowe do zainstalowania.

Exploity wykorzystujące wiele luk są również publicznie dostępne. Niektóre z nich zostały wykorzystane nie tylko przez chińskich hakerów, lecz znalazły się także w arsenale gangów zajmujących się oprogramowaniem ransomware, grup zajmujących się złośliwym oprogramowaniem niskiego poziomu oraz podmiotów z państw narodowych z innych krajów (tj. Rosji i Iranu).

„Większość wymienionych poniżej luk można wykorzystać w celu uzyskania wstępnego dostępu do sieci ofiar za pomocą produktów, do których można uzyskać bezpośredni dostęp z Internetu i które działają jako bramy do sieci wewnętrznych” – stwierdziła dziś NSA.

Amerykańska agencja ds. bezpieczeństwa cybernetycznego wzywa organizacje z amerykańskiego sektora publicznego i prywatnego do załatania systemów pod kątem luk wymienionych poniżej.

Obejmują one:

1) CVE-2019-11510 – Na serwerach Pulse Secure VPN nieuwierzytelniony zdalny atakujący może wysłać specjalnie spreparowany identyfikator URI w celu wykorzystania dowolnej luki w odczytaniu pliku. Może to prowadzić do ujawnienia kluczy lub haseł

2) CVE-2020-5902 – W przypadku serwerów proxy F5 BIG-IP i modułu równoważenia obciążenia interfejs użytkownika zarządzania ruchem (TMUI) — nazywany także narzędziem konfiguracyjnym — jest podatny na lukę w zabezpieczeniach umożliwiającą zdalne wykonanie kodu (RCE), która umożliwia zdalne atakującym przejęcie całego urządzenia BIG-IP.

3) CVE-2019-19781 – Systemy Citrix Application Delivery Controller (ADC) i bramy są podatne na błąd związany z przeglądaniem katalogów, który może prowadzić do zdalnego wykonania kodu bez konieczności posiadania przez osobę atakującą ważnych danych logowania do urządzenia. Te dwie kwestie można połączyć, aby przejąć systemy Citrix.

4+5+6) CVE-2020-8193, CVE-2020-8195, CVE-2020-8196 – Kolejny zestaw błędów Citrix ADC i Gateway. Mają one również wpływ na systemy SDWAN WAN-OP. Te trzy błędy umożliwiają nieuwierzytelniony dostęp do niektórych punktów końcowych adresów URL i ujawnianie informacji użytkownikom o niskich uprawnieniach.

7) CVE-2019-0708 (aka BlueKeep) – w usługach pulpitu zdalnego w systemach operacyjnych Windows występuje luka umożliwiająca zdalne wykonanie kodu.

8) CVE-2020-15505 – Luka w oprogramowaniu do zarządzania urządzeniami mobilnymi MobileIron (MDM) umożliwiająca zdalne wykonanie kodu, która umożliwia zdalnym atakującym wykonanie dowolnego kodu i przejęcie zdalnych serwerów firmy.

9) CVE-2020-1350 (aka SIGRed) – na serwerach Windows Domain Name System występuje luka umożliwiająca zdalne wykonanie kodu, gdy nie obsługują one prawidłowo żądań.

10) CVE-2020-1472 (aka Netlogon) – Luka umożliwiająca podniesienie uprawnień występuje, gdy osoba atakująca ustanawia podatne na ataki bezpieczne połączenie Netlogon z kontrolerem domeny przy użyciu protokołu Netlogon Remote Protocol (MS-NRPC).

11) CVE-2019-1040 – W systemie Microsoft Windows występuje luka umożliwiająca manipulację, gdy osobie atakującej typu „man-in-the-middle” udaje się pomyślnie ominąć ochronę NTLM MIC (Message Integrity Check).

12) CVE-2018-6789 – Wysłanie ręcznie przygotowanej wiadomości do agenta przesyłania poczty Exim może spowodować przepełnienie bufora. Można to wykorzystać do zdalnego wykonania kodu i przejęcia serwerów e-mail.

13) CVE-2020-0688 – W oprogramowaniu Microsoft Exchange występuje luka umożliwiająca zdalne wykonanie kodu, gdy oprogramowanie nie obsługuje prawidłowo obiektów w pamięci.

14) CVE-2018-4939 – Niektóre wersje programu Adobe ColdFusion zawierają lukę w zabezpieczeniach umożliwiającą deserializację niezaufanych danych. Pomyślne wykorzystanie może prowadzić do wykonania dowolnego kodu.

15) CVE-2015-4852 – Komponent WLS Security w Oracle WebLogic 15 Server umożliwia zdalnym atakującym wykonywanie dowolnych poleceń za pośrednictwem spreparowanego, serializowanego obiektu Java

16) CVE-2020-2555 – W produkcie Oracle Coherence oprogramowania Oracle Fusion Middleware istnieje luka. Ta łatwa do wykorzystania luka umożliwia nieuwierzytelnionemu atakującemu z dostępem do sieci za pośrednictwem T3 złamanie zabezpieczeń systemów Oracle Coherence.

17) CVE-2019-3396 – Makro Widget Connector w serwerze Atlassian Confluence 17 umożliwia zdalnym atakującym przekroczenie ścieżki i zdalne wykonanie kodu na serwerze Confluence Server lub instancji Data Center poprzez wstrzyknięcie szablonu po stronie serwera.

18) CVE-2019-11580 – osoby atakujące, które mogą wysyłać żądania do instancji Atlassian Crowd lub Crowd Data Center, mogą wykorzystać tę lukę w celu zainstalowania dowolnych wtyczek, które umożliwiają zdalne wykonanie kodu.

19) CVE-2020-10189 – Zoho ManageEngine Desktop Central umożliwia zdalne wykonanie kodu z powodu deserializacji niezaufanych danych.

20) CVE-2019-18935 – Interfejs użytkownika Progress Telerik dla ASP.NET AJAX zawiera lukę w zabezpieczeniach umożliwiającą deserializację .NET. Eksploatacja może skutkować zdalnym wykonaniem kodu.

21) CVE-2020-0601 (znany również jako CurveBall) – w sposobie, w jaki Windows CryptoAPI (Crypt32.dll) sprawdza certyfikaty kryptografii krzywej eliptycznej (ECC), istnieje luka w zabezpieczeniach umożliwiająca fałszowanie. Osoba atakująca może wykorzystać tę lukę, używając sfałszowanego certyfikatu podpisywania kodu do podpisania złośliwego pliku wykonywalnego, sprawiając wrażenie, że plik pochodzi z zaufanego, legalnego źródła.

22) CVE-2019-0803 – W systemie Windows występuje luka umożliwiająca podniesienie uprawnień, gdy składnik Win32k nie obsługuje prawidłowo obiektów w pamięci.

23) CVE-2017-6327 – W programie Symantec Messaging Gateway może wystąpić problem ze zdalnym wykonaniem kodu.

24) CVE-2020-3118 – Luka w implementacji protokołu Cisco Discovery Protocol dla oprogramowania Cisco IOS XR może pozwolić nieuwierzytelnionemu atakującemu na wykonanie dowolnego kodu lub spowodować ponowne załadowanie zagrożonego urządzenia.

25) CVE-2020-8515 – Urządzenia DrayTek Vigor umożliwiają zdalne wykonanie kodu jako root (bez uwierzytelnienia) za pomocą metaznaków powłoki.

Czytaj więcej tutaj.