Aké sú hlavné chyby zabezpečenia webových stránok a aplikácií?

Americká národná bezpečnostná agentúra (NSA) dnes zverejnila hĺbkovú správu s podrobnosťami o 25 najčastejších zraniteľných miestach, ktoré sú v súčasnosti dôsledne kontrolované, zacielené a zneužívané čínskymi štátom podporovanými hackerskými skupinami.

Všetkých 25 bezpečnostných chýb je dobre známych a majú k dispozícii záplaty od svojich predajcov, pripravené na inštaláciu.

Verejne dostupné sú aj zneužitia mnohých zraniteľností. Niektoré z nich zneužili nielen čínski hackeri, ale boli tiež súčasťou arzenálu ransomvérových gangov, nízkoúrovňových skupín škodlivého softvéru a národných štátnych aktérov z iných krajín (tj Ruska a Iránu).

"Väčšinu zraniteľností uvedených nižšie možno využiť na získanie počiatočného prístupu k sieťam obetí pomocou produktov, ktoré sú priamo dostupné z internetu a fungujú ako brány do interných sietí," uviedla dnes NSA.

Americká agentúra pre kybernetickú bezpečnosť vyzýva organizácie v americkom verejnom a súkromnom sektore, aby opravili systémy pre nižšie uvedené zraniteľnosti.

Medzi ne patria:

1) CVE-2019-11510 – Na serveroch Pulse Secure VPN môže neoverený vzdialený útočník poslať špeciálne vytvorený identifikátor URI, aby vykonal chybu pri čítaní ľubovoľného súboru. To môže viesť k odhaleniu kľúčov alebo hesiel

2) CVE-2020-5902 – Na serveroch proxy F5 BIG-IP a nástroji na vyvažovanie záťaže je používateľské rozhranie správy premávky (TMUI) – nazývané aj konfiguračná pomôcka – zraniteľné voči zraniteľnosti vzdialeného spustenia kódu (RCE), ktorá umožňuje vzdialené útočníkom prevziať celé zariadenie BIG-IP.

3) CVE-2019-19781 – Systémy Citrix Application Delivery Controller (ADC) a Gateway sú zraniteľné voči chybe pri prechode cez adresár, ktorá môže viesť k vzdialenému spusteniu kódu bez toho, aby útočník musel vlastniť platné poverenia pre zariadenie. Tieto dva problémy je možné spojiť a prevziať systémy Citrix.

4+5+6) CVE-2020-8193, CVE-2020-8195, CVE-2020-8196 – Ďalšia sada chýb Citrix ADC a Gateway. Tieto tiež ovplyvňujú systémy SDWAN WAN-OP. Tieto tri chyby umožňujú neoverený prístup k určitým koncovým bodom URL a sprístupnenie informácií používateľom s nízkymi právami.

7) CVE-2019-0708 (aka BlueKeep) – V rámci Služieb vzdialenej pracovnej plochy v operačných systémoch Windows existuje chyba zabezpečenia týkajúca sa vzdialeného spúšťania kódu.

8) CVE-2020-15505 – Chyba zabezpečenia vzdialeného spúšťania kódu v softvéri MobileIron na správu mobilných zariadení (MDM), ktorá umožňuje vzdialeným útočníkom spustiť ľubovoľný kód a prevziať vzdialené servery spoločnosti.

9) CVE-2020-1350 (známy aj ako SIGRed) – Na serveroch systému Windows Domain Name System existuje chyba zabezpečenia v prípade, že nedokážu správne spracovať požiadavky.

10) CVE-2020-1472 (aka Netlogon) – Zvýšená zraniteľnosť privilégií existuje, keď útočník vytvorí pripojenie zabezpečeného kanála Netlogon k radiču domény pomocou protokolu Netlogon Remote Protocol (MS-NRPC).

11) CVE-2019-1040 – V systéme Microsoft Windows existuje chyba zabezpečenia, keď sa útočníkovi typu man-in-the-middle podarí úspešne obísť ochranu NTLM MIC (kontrola integrity správy).

12) CVE-2018-6789 – Odoslanie ručne vyrobenej správy agentovi na prenos pošty Exim môže spôsobiť pretečenie vyrovnávacej pamäte. Toto možno použiť na spustenie kódu na diaľku a prevzatie e-mailových serverov.

13) CVE-2020-0688 – V softvéri Microsoft Exchange existuje zraniteľnosť pri spúšťaní kódu, keď softvér nedokáže správne spracovať objekty v pamäti.

14) CVE-2018-4939 – Niektoré verzie Adobe ColdFusion majú zneužiteľnú chybu zabezpečenia deserializácie nedôveryhodných údajov. Úspešné využitie môže viesť k spusteniu ľubovoľného kódu.

15) CVE-2015-4852 – Bezpečnostný komponent WLS v serveri Oracle WebLogic 15 Server umožňuje vzdialeným útočníkom vykonávať ľubovoľné príkazy prostredníctvom vytvoreného serializovaného objektu Java

16) CVE-2020-2555 – V produkte Oracle Coherence produktu Oracle Fusion Middleware existuje chyba zabezpečenia. Táto ľahko zneužiteľná zraniteľnosť umožňuje neoverenému útočníkovi so sieťovým prístupom cez T3 ohroziť systémy Oracle Coherence.

17) CVE-2019-3396 – Makro Widget Connector na serveri Atlassian Confluence 17 umožňuje vzdialeným útočníkom dosiahnuť prechod cesty a vzdialené spustenie kódu na inštancii servera Confluence alebo dátového centra prostredníctvom vloženia šablóny na strane servera.

18) CVE-2019-11580 – Útočníci, ktorí môžu odosielať požiadavky do inštancie Atlassian Crowd alebo Crowd Data Center, môžu túto chybu zabezpečenia využiť na inštaláciu ľubovoľných doplnkov, ktoré umožňujú vzdialené spustenie kódu.

19) CVE-2020-10189 – Zoho ManageEngine Desktop Central umožňuje vzdialené spustenie kódu z dôvodu deserializácie nedôveryhodných údajov.

20) CVE-2019-18935 – Používateľské rozhranie Progress Telerik pre ASP.NET AJAX obsahuje chybu zabezpečenia .NET deserializácie. Zneužitie môže viesť k vzdialenému spusteniu kódu.

21) CVE-2020-0601 (aka CurveBall) – V spôsobe, akým Windows CryptoAPI (Crypt32.dll) overuje certifikáty Elliptic Curve Cryptography (ECC), existuje chyba zabezpečenia. Útočník by mohol zneužiť túto zraniteľnosť pomocou falošného certifikátu na podpisovanie kódu na podpísanie škodlivého spustiteľného súboru, čím by sa zdalo, že súbor pochádza z dôveryhodného legitímneho zdroja.

22) CVE-2019-0803 – V systéme Windows existuje zvýšená zraniteľnosť privilégií, keď komponent Win32k nedokáže správne spracovať objekty v pamäti.

23) CVE-2017-6327 – Symantec Messaging Gateway môže naraziť na problém so vzdialeným spustením kódu.

24) CVE-2020-3118 – Chyba v implementácii protokolu Cisco Discovery Protocol pre softvér Cisco IOS XR by mohla umožniť neoverenému susednému útočníkovi spustiť ľubovoľný kód alebo spôsobiť opätovné načítanie postihnutého zariadenia.

25) CVE-2020-8515 – Zariadenia DrayTek Vigor umožňujú vzdialené spustenie kódu ako root (bez autentifikácie) prostredníctvom metaznakov shellu.

Čítaj viac tu.