Care sunt cele mai importante vulnerabilități pentru site-uri web și aplicații?

Agenția de Securitate Națională a SUA (NSA) a publicat astăzi un raport aprofundat care detaliază primele 25 de vulnerabilități care sunt în prezent scanate, vizate și exploatate în mod constant de grupurile de hacking sponsorizate de stat chinezi.

Toate cele 25 de erori de securitate sunt bine cunoscute și au patch-uri disponibile de la furnizorii lor, gata pentru a fi instalate.

Exploit-urile pentru multe vulnerabilități sunt, de asemenea, disponibile public. Unele au fost exploatate de mai mult decât doar hackeri chinezi, fiind, de asemenea, încorporate în arsenalul de bande de ransomware, grupuri de malware de nivel scăzut și actori din alte țări (de exemplu, Rusia și Iran).

„Majoritatea dintre vulnerabilitățile enumerate mai jos pot fi exploatate pentru a obține accesul inițial la rețelele victimelor folosind produse care sunt direct accesibile de pe Internet și care acționează ca porți de acces către rețelele interne”, a declarat astăzi NSA.

Agenția de securitate cibernetică din SUA îndeamnă organizațiile din sectorul public și privat din SUA să corecteze sistemele pentru vulnerabilitățile enumerate mai jos.

Acestea includ:

1) CVE-2019-11510 – Pe serverele Pulse Secure VPN, un atacator la distanță neautentificat poate trimite un URI special conceput pentru a realiza o vulnerabilitate arbitrară de citire a fișierelor. Acest lucru poate duce la expunerea cheilor sau parolelor

2) CVE-2020-5902 – Pe proxy-urile F5 BIG-IP și echilibrarea încărcăturii, interfața utilizatorului de gestionare a traficului (TMUI) — denumită și utilitarul de configurare — este vulnerabilă la o vulnerabilitate de executare a codului de la distanță (RCE) care poate permite atacatorii să preia întregul dispozitiv BIG-IP.

3) CVE-2019-19781 – Sistemele Citrix Application Delivery Controller (ADC) și Gateway sunt vulnerabile la o eroare de traversare a directorului, care poate duce la executarea de cod de la distanță fără ca atacatorul să fie nevoit să posede acreditări valide pentru dispozitiv. Aceste două probleme pot fi înlănțuite pentru a prelua sistemele Citrix.

4+5+6) CVE-2020-8193, CVE-2020-8195, CVE-2020-8196 – Un alt set de erori Citrix ADC și Gateway. Acestea afectează și sistemele SDWAN WAN-OP. Cele trei erori permit accesul neautentificat la anumite puncte finale URL și dezvăluirea de informații către utilizatorii cu privilegii reduse.

7) CVE-2019-0708 (alias BlueKeep) – Există o vulnerabilitate de execuție a codului de la distanță în cadrul Remote Desktop Services pe sistemele de operare Windows.

8) CVE-2020-15505 – O vulnerabilitate de execuție a codului de la distanță în software-ul de gestionare a dispozitivelor mobile (MDM) MobileIron care permite atacatorilor de la distanță să execute cod arbitrar și să preia serverele companiei la distanță.

9) CVE-2020-1350 (alias SIGRed) – Există o vulnerabilitate de execuție a codului la distanță pe serverele Windows Domain Name System atunci când nu reușesc să gestioneze în mod corespunzător cererile.

10) CVE-2020-1472 (cunoscut și sub numele de Netlogon) – Există o vulnerabilitate la creșterea privilegiilor atunci când un atacator stabilește o conexiune de canal securizată Netlogon vulnerabilă la un controler de domeniu folosind protocolul Netlogon Remote Protocol (MS-NRPC).

11) CVE-2019-1040 – O vulnerabilitate de manipulare există în Microsoft Windows atunci când un atacator de tip man-in-the-middle este capabil să ocolească cu succes protecția NTLM MIC (Verificarea integrității mesajelor).

12) CVE-2018-6789 – Trimiterea unui mesaj manual către un agent de transfer de e-mail Exim poate provoca o depășire a memoriei tampon. Acesta poate fi folosit pentru a executa codul de la distanță și pentru a prelua serverele de e-mail.

13) CVE-2020-0688 – Există o vulnerabilitate de execuție a codului la distanță în software-ul Microsoft Exchange atunci când software-ul nu reușește să gestioneze corect obiectele din memorie.

14) CVE-2018-4939 – Anumite versiuni Adobe ColdFusion au o vulnerabilitate exploatabilă Deserialization of Untrusted Data. Exploatarea cu succes poate duce la executarea unui cod arbitrar.

15) CVE-2015-4852 – Componenta WLS Security din Oracle WebLogic 15 Server permite atacatorilor de la distanță să execute comenzi arbitrare printr-un obiect Java serializat.

16) CVE-2020-2555 – Există o vulnerabilitate în produsul Oracle Coherence al Oracle Fusion Middleware. Această vulnerabilitate ușor de exploatat permite atacatorului neautentificat cu acces la rețea prin T3 să compromită sistemele Oracle Coherence.

17) CVE-2019-3396 – Macrocomanda Widget Connector din Atlassian Confluence 17 Server permite atacatorilor de la distanță să realizeze traversarea căilor și executarea codului de la distanță pe o instanță Confluence Server sau Data Center prin injectarea de șablon pe server.

18) CVE-2019-11580 – Atacatorii care pot trimite cereri către o instanță Atlassian Crowd sau Crowd Data Center pot exploata această vulnerabilitate pentru a instala pluginuri arbitrare, ceea ce permite executarea codului de la distanță.

19) CVE-2020-10189 – Zoho ManageEngine Desktop Central permite executarea codului de la distanță din cauza deserializării datelor care nu sunt de încredere.

20) CVE-2019-18935 – Progress Telerik UI pentru ASP.NET AJAX conține o vulnerabilitate de deserializare .NET. Exploatarea poate duce la executarea codului de la distanță.

21) CVE-2020-0601 (alias CurveBall) – Există o vulnerabilitate de falsificare în modul în care Windows CryptoAPI (Crypt32.dll) validează certificatele Elliptic Curve Cryptography (ECC). Un atacator ar putea exploata vulnerabilitatea utilizând un certificat de semnare a codului falsificat pentru a semna un executabil rău intenționat, făcând să pară că fișierul provine dintr-o sursă legitimă și de încredere.

22) CVE-2019-0803 – În Windows există o vulnerabilitate la creșterea privilegiilor atunci când componenta Win32k nu reușește să gestioneze corect obiectele din memorie.

23) CVE-2017-6327 – Symantec Messaging Gateway poate întâmpina o problemă de execuție a codului de la distanță.

24) CVE-2020-3118 – O vulnerabilitate în implementarea protocolului Cisco Discovery pentru software-ul Cisco IOS XR ar putea permite unui atacator adiacent neautentificat să execute cod arbitrar sau să provoace reîncărcarea unui dispozitiv afectat.

25) CVE-2020-8515 – Dispozitivele DrayTek Vigor permit executarea codului de la distanță ca root (fără autentificare) prin metacaracterele shell.

Află mai multe aici.