Каковы основные уязвимости веб-сайтов и приложений?

Агентство национальной безопасности США (АНБ) опубликовало сегодня подробный отчет с подробным описанием 25 основных уязвимостей, которые в настоящее время последовательно сканируются, выбираются и используются хакерскими группами, спонсируемыми китайским государством.

Все 25 ошибок безопасности хорошо известны, и их поставщики готовы к установке исправлений.

Эксплойты для многих уязвимостей также общедоступны. Некоторые из них были использованы не только китайскими хакерами, но и включены в арсенал группировок, занимающихся вымогательством, низкоуровневых группировок, занимающихся вредоносным ПО, а также представителей национальных государств из других стран (например, России и Ирана).

«Большинство уязвимостей, перечисленных ниже, можно использовать для получения первоначального доступа к сетям жертв с помощью продуктов, которые доступны напрямую из Интернета и действуют как шлюзы во внутренние сети», — заявило сегодня АНБ.

Агентство кибербезопасности США призывает организации государственного и частного сектора США исправлять системы для устранения уязвимостей, перечисленных ниже.

Они включают в себя:

1) CVE-2019-11510 — на серверах Pulse Secure VPN неаутентифицированный удаленный злоумышленник может отправить специально созданный URI для реализации уязвимости чтения произвольного файла. Это может привести к раскрытию ключей или паролей.

2) CVE-2020-5902 — на прокси-серверах F5 BIG-IP и балансировщике нагрузки пользовательский интерфейс управления трафиком (TMUI), также называемый утилитой настройки, уязвим к уязвимости удаленного выполнения кода (RCE), которая может позволить удаленное выполнение кода (RCE). злоумышленники смогут захватить все устройство BIG-IP.

3) CVE-2019-19781 — системы Citrix Application Delivery Controller (ADC) и шлюз уязвимы к ошибке обхода каталога, которая может привести к удаленному выполнению кода без необходимости наличия у злоумышленника действительных учетных данных для устройства. Эти две проблемы можно объединить, чтобы взять под контроль системы Citrix.

4+5+6) CVE-2020-8193, CVE-2020-8195, CVE-2020-8196 — еще один набор ошибок Citrix ADC и шлюза. Они также влияют на системы SDWAN WAN-OP. Эти три ошибки обеспечивают неаутентифицированный доступ к определенным конечным точкам URL-адресов и раскрытие информации пользователям с низким уровнем привилегий.

7) CVE-2019-0708 (также известный как BlueKeep) — существует уязвимость удаленного выполнения кода в службах удаленных рабочих столов в операционных системах Windows.

8) CVE-2020-15505 — уязвимость удаленного выполнения кода в программном обеспечении управления мобильными устройствами (MDM) MobileIron, которая позволяет удаленным злоумышленникам выполнять произвольный код и захватывать удаленные серверы компании.

9) CVE-2020-1350 (также известный как SIGRed) — на серверах системы доменных имен Windows существует уязвимость удаленного выполнения кода, когда они не могут должным образом обрабатывать запросы.

10) CVE-2020-1472 (он же Netlogon). Уязвимость, связанная с повышением привилегий, существует, когда злоумышленник устанавливает уязвимое соединение по безопасному каналу Netlogon с контроллером домена с использованием удаленного протокола Netlogon (MS-NRPC).

11) CVE-2019-1040. В Microsoft Windows существует уязвимость, связанная с несанкционированным вмешательством, когда злоумышленник-посредник может успешно обойти защиту NTLM MIC (проверка целостности сообщения).

12) CVE-2018-6789 — отправка созданного вручную сообщения агенту передачи почты Exim может вызвать переполнение буфера. Это можно использовать для удаленного выполнения кода и захвата почтовых серверов.

13) CVE-2020-0688. В программном обеспечении Microsoft Exchange существует уязвимость удаленного выполнения кода, когда программное обеспечение не может должным образом обрабатывать объекты в памяти.

14) CVE-2018-4939. Некоторые версии Adobe ColdFusion содержат уязвимость, связанную с десериализацией ненадежных данных. Успешная эксплуатация может привести к выполнению произвольного кода.

15) CVE-2015-4852 — компонент безопасности WLS в Oracle WebLogic 15 Server позволяет удаленным злоумышленникам выполнять произвольные команды через созданный сериализованный объект Java.

16) CVE-2020-2555. В продукте Oracle Coherence Oracle Fusion Middleware существует уязвимость. Эта легко эксплуатируемая уязвимость позволяет злоумышленнику, не прошедшему аутентификацию и имеющему доступ к сети через T3, скомпрометировать системы Oracle Coherence.

17) CVE-2019-3396. Макрос Widget Connector в Atlassian Confluence 17 Server позволяет удаленным злоумышленникам осуществлять обход пути и удаленное выполнение кода на экземпляре Confluence Server или Data Center посредством внедрения шаблона на стороне сервера.

18) CVE-2019-11580. Злоумышленники, которые могут отправлять запросы к экземпляру Atlassian Crowd или Crowd Data Center, могут использовать эту уязвимость для установки произвольных плагинов, которые позволяют удаленно выполнять код.

19) CVE-2020-10189 — Zoho ManageEngine Desktop Central позволяет удаленное выполнение кода из-за десериализации ненадежных данных.

20) CVE-2019-18935 — пользовательский интерфейс Progress Telerik для ASP.NET AJAX содержит уязвимость десериализации .NET. Эксплуатация может привести к удаленному выполнению кода.

21) CVE-2020-0601 (также известный как CurveBall) — в способе проверки сертификатов шифрования на основе эллиптических кривых (ECC) Windows CryptoAPI (Crypt32.dll) существует уязвимость подделки. Злоумышленник может воспользоваться этой уязвимостью, используя поддельный сертификат подписи кода для подписи вредоносного исполняемого файла, создавая впечатление, что файл получен из надежного и законного источника.

22) CVE-2019-0803. В Windows существует уязвимость, делающая возможным несанкционированное получение прав, когда компонент Win32k не может должным образом обрабатывать объекты в памяти.

23) CVE-2017-6327. Symantec Messaging Gateway может столкнуться с проблемой удаленного выполнения кода.

24) CVE-2020-3118. Уязвимость в реализации протокола обнаружения Cisco для программного обеспечения Cisco IOS XR может позволить неаутентифицированному соседнему злоумышленнику выполнить произвольный код или вызвать перезагрузку затронутого устройства.

25) CVE-2020-8515 — устройства DrayTek Vigor позволяют удаленное выполнение кода от имени пользователя root (без аутентификации) через метасимволы оболочки.

Читать далее здесь.