Vilka är de största sårbarheterna för webbplatser och appar?

US National Security Agency (NSA) har idag publicerat en djupgående rapport som beskriver de 25 främsta sårbarheterna som för närvarande konsekvent skannas, riktas mot och utnyttjas av kinesiska statligt sponsrade hackergrupper.

Alla 25 säkerhetsbuggar är välkända och har patchar tillgängliga från sina leverantörer, redo att installeras.

Utnyttjande av många sårbarheter är också allmänt tillgängliga. Vissa har utnyttjats av mer än bara kinesiska hackare, och de har också införlivats i arsenalen av ransomware-gäng, lågnivågrupper med skadlig programvara och nationalstatliga aktörer från andra länder (dvs. Ryssland och Iran).

"De flesta av sårbarheterna som listas nedan kan utnyttjas för att få initial åtkomst till offernätverk med hjälp av produkter som är direkt åtkomliga från Internet och fungerar som portar till interna nätverk", sade NSA idag.

Den amerikanska cybersäkerhetsbyrån uppmanar organisationer i den amerikanska offentliga och privata sektorn att korrigera system för sårbarheterna som listas nedan.

Dessa inkluderar:

1) CVE-2019-11510 – På Pulse Secure VPN-servrar kan en oautentiserad fjärrangripare skicka en specialgjord URI för att utföra en godtycklig filläsningssårbarhet. Detta kan leda till exponering av nycklar eller lösenord

2) CVE-2020-5902 – På F5 BIG-IP-proxyer och lastbalanserare är Traffic Management User Interface (TMUI) – även kallat Configuration Utility – sårbart för en Remote Code Execution (RCE) sårbarhet som kan tillåta fjärrkontroll angripare att ta över hela BIG-IP-enheten.

3) CVE-2019-19781 – Citrix Application Delivery Controller (ADC) och Gateway-system är sårbara för en katalogtraversal bugg, vilket kan leda till fjärrkörning av kod utan att angriparen behöver ha giltiga referenser för enheten. Dessa två problem kan kopplas ihop för att ta över Citrix-system.

4+5+6) CVE-2020-8193, CVE-2020-8195, CVE-2020-8196 – Ytterligare en uppsättning Citrix ADC- och Gateway-buggar. Dessa påverkar också SDWAN WAN-OP-system. De tre buggarna tillåter oautentiserad åtkomst till vissa URL-slutpunkter och informationsutlämnande till lågprivilegierade användare.

7) CVE-2019-0708 (alias BlueKeep) – Det finns en sårbarhet för exekvering av fjärrkod inom Remote Desktop Services på Windows-operativsystem.

8) CVE-2020-15505 – En sårbarhet för exekvering av fjärrkod i programvaran MobileIron Mobile Device Management (MDM) som tillåter fjärrangripare att exekvera godtycklig kod och ta över fjärrföretagsservrar.

9) CVE-2020-1350 (alias SIGRed) – Det finns en sårbarhet för fjärrkörning av kod i Windows Domain Name System-servrar när de inte hanterar förfrågningar korrekt.

10) CVE-2020-1472 (alias Netlogon) – Det finns en sårbarhet för utökad behörighet när en angripare upprättar en sårbar Netlogon säker kanalanslutning till en domänkontrollant med hjälp av Netlogon Remote Protocol (MS-NRPC).

11) CVE-2019-1040 – En manipuleringssårbarhet finns i Microsoft Windows när en man-in-the-middle-angripare lyckas kringgå NTLM MIC-skyddet (Message Integrity Check).

12) CVE-2018-6789 – Att skicka ett handgjort meddelande till en Exim-postöverföringsagent kan orsaka buffertspill. Detta kan användas för att exekvera kod på distans och ta över e-postservrar.

13) CVE-2020-0688 – En sårbarhet för fjärrkörning av kod finns i Microsoft Exchange-programvaran när programvaran inte hanterar objekt i minnet korrekt.

14) CVE-2018-4939 – Vissa Adobe ColdFusion-versioner har en exploateringsbar Deserialization of Untrusted Data-sårbarhet. Framgångsrik exploatering kan leda till exekvering av godtycklig kod.

15) CVE-2015-4852 – WLS-säkerhetskomponenten i Oracle WebLogic 15 Server tillåter fjärrangripare att utföra godtyckliga kommandon via ett skapat serialiserat Java-objekt

16) CVE-2020-2555 – En sårbarhet finns i Oracle Coherence-produkten från Oracle Fusion Middleware. Denna lättexploaterbara sårbarhet gör det möjligt för oautentiserade angripare med nätverksåtkomst via T3 att äventyra Oracle Coherence-system.

17) CVE-2019-3396 – Widget Connector-makrot i Atlassian Confluence 17 Server tillåter fjärrangripare att uppnå vägkorsning och fjärrkörning av kod på en Confluence Server eller Data Center-instans via mallinjektion på serversidan.

18) CVE-2019-11580 – Angripare som kan skicka förfrågningar till en Atlassian Crowd- eller Crowd Data Center-instans kan utnyttja denna sårbarhet för att installera godtyckliga plugins, som tillåter fjärrkörning av kod.

19) CVE-2020-10189 – Zoho ManageEngine Desktop Central tillåter fjärrkörning av kod på grund av deserialisering av opålitlig data.

20) CVE-2019-18935 – Progress Telerik UI för ASP.NET AJAX innehåller en sårbarhet för .NET-serialisering. Exploatering kan resultera i fjärrkörning av kod.

21) CVE-2020-0601 (alias CurveBall) – En spoofing-sårbarhet finns i hur Windows CryptoAPI (Crypt32.dll) validerar ECC-certifikat (Elliptic Curve Cryptography). En angripare kan utnyttja sårbarheten genom att använda ett falskt kodsigneringscertifikat för att signera en skadlig körbar fil, vilket får det att se ut som om filen kom från en pålitlig, legitim källa.

22) CVE-2019-0803 – Det finns en sårbarhet för utökad behörighet i Windows när Win32k-komponenten inte hanterar objekt i minnet korrekt.

23) CVE-2017-6327 – Symantec Messaging Gateway kan stöta på ett problem med fjärrkörning av kod.

24) CVE-2020-3118 – En sårbarhet i Cisco Discovery Protocol-implementeringen för Cisco IOS XR-programvaran kan tillåta en oautentiserad, intilliggande angripare att exekvera godtycklig kod eller orsaka att en påverkad enhet laddas om.

25) CVE-2020-8515 – DrayTek Vigor-enheter tillåter fjärrkörning av kod som root (utan autentisering) via skalmetatecken.

Läs mer här..