Які найбільш вразливі місця для веб-сайтів і програм?

Агентство національної безпеки США (NSA) опублікувало сьогодні докладний звіт із детальним описом 25 найпоширеніших уразливостей, які наразі постійно перевіряються, цільовими та використовуються хакерськими групами Китаю, спонсорованими державою.

Усі 25 помилок безпеки добре відомі, і їх постачальники пропонують виправлення, готові до встановлення.

Експлойти для багатьох вразливостей також є загальнодоступними. Деякі з них були використані не лише китайськими хакерами, а також включені в арсенал банд програм-вимагачів, груп шкідливих програм низького рівня та державних акторів з інших країн (наприклад, Росії та Ірану).

«Більшість уразливостей, перелічених нижче, можна використати для отримання початкового доступу до мереж жертви за допомогою продуктів, які є прямим доступом з Інтернету та діють як шлюзи до внутрішніх мереж», — заявили сьогодні в АНБ.

Агентство з кібербезпеки США закликає організації в державному та приватному секторах США виправляти системи для уразливостей, перелічених нижче.

До них відносяться:

1) CVE-2019-11510 – на серверах Pulse Secure VPN неавтентифікований віддалений зловмисник може надіслати спеціально створений URI для виконання вразливості довільного читання файлу. Це може призвести до розкриття ключів або паролів

2) CVE-2020-5902 – на проксі-серверах F5 BIG-IP і балансировщику навантаження інтерфейс користувача керування трафіком (TMUI) — також відомий як утиліта конфігурації — вразливий до вразливості Remote Code Execution (RCE), яка може дозволити дистанційне виконання зловмисники заволодіють усім пристроєм BIG-IP.

3) CVE-2019-19781 – системи Citrix Application Delivery Controller (ADC) і Gateway вразливі до помилки проходження каталогу, яка може призвести до віддаленого виконання коду без того, щоб зловмисник мав дійсні облікові дані для пристрою. Ці дві проблеми можуть бути об’єднані в систему Citrix.

4+5+6) CVE-2020-8193, CVE-2020-8195, CVE-2020-8196 – ще один набір помилок Citrix ADC і Gateway. Вони також впливають на системи SDWAN WAN-OP. Ці три помилки дозволяють неавтентифікований доступ до певних кінцевих точок URL-адреси та розкриття інформації малопривілейованим користувачам.

7) CVE-2019-0708 (він же BlueKeep) – у Службах віддаленого робочого стола в операційних системах Windows існує вразливість до віддаленого виконання коду.

8) CVE-2020-15505 – уразливість віддаленого виконання коду в програмному забезпеченні для керування мобільними пристроями MobileIron (MDM), що дозволяє віддаленим зловмисникам виконувати довільний код і захоплювати віддалені сервери компанії.

9) CVE-2020-1350 (він же SIGRed) – уразливість віддаленого виконання коду існує на серверах системи доменних імен Windows, коли вони не можуть належним чином обробляти запити.

10) CVE-2020-1472 (він же Netlogon) – уразливість до підвищення привілеїв виникає, коли зловмисник встановлює вразливе підключення безпечного каналу Netlogon до контролера домену за допомогою віддаленого протоколу Netlogon (MS-NRPC).

11) CVE-2019-1040 – у Microsoft Windows існує вразливість, коли зловмисник може успішно обійти захист NTLM MIC (перевірка цілісності повідомлень).

12) CVE-2018-6789 – Надсилання власноруч створеного повідомлення агенту передачі пошти Exim може спричинити переповнення буфера. Це можна використовувати для віддаленого виконання коду та керування серверами електронної пошти.

13) CVE-2020-0688 – у програмному забезпеченні Microsoft Exchange існує вразливість до віддаленого виконання коду, коли програмне забезпечення не може належним чином обробляти об’єкти в пам’яті.

14) CVE-2018-4939 – певні версії Adobe ColdFusion містять уразливість десеріалізації ненадійних даних. Успішне використання може призвести до виконання довільного коду.

15) CVE-2015-4852 – Компонент безпеки WLS на сервері Oracle WebLogic 15 дозволяє віддаленим зловмисникам виконувати довільні команди через створений серіалізований об’єкт Java

16) CVE-2020-2555 – у продукті Oracle Coherence Oracle Fusion Middleware існує вразливість. Ця вразливість, яку легко використовувати, дозволяє неавтентифікованому зловмиснику з доступом до мережі через T3 скомпрометувати системи Oracle Coherence.

17) CVE-2019-3396 – макрос Widget Connector на сервері Atlassian Confluence 17 дозволяє віддаленим зловмисникам досягати обходу шляху та віддаленого виконання коду на примірнику Confluence Server або Data Center за допомогою ін’єкції шаблону на сервері.

18) CVE-2019-11580 – зловмисники, які можуть надсилати запити до екземпляра Atlassian Crowd або Crowd Data Center, можуть використовувати цю вразливість для встановлення довільних плагінів, що дозволяє віддалене виконання коду.

19) CVE-2020-10189 – Zoho ManageEngine Desktop Central дозволяє віддалене виконання коду через десеріалізацію ненадійних даних.

20) CVE-2019-18935 – інтерфейс користувача Progress Telerik для ASP.NET AJAX містить вразливість десеріалізації .NET. Експлуатація може призвести до віддаленого виконання коду.

21) CVE-2020-0601 (він же CurveBall) – уразливість підробки існує в тому, як Windows CryptoAPI (Crypt32.dll) перевіряє сертифікати Elliptic Curve Cryptography (ECC). Зловмисник може використати вразливість, використовуючи підроблений сертифікат підпису коду для підпису зловмисного виконуваного файлу, створюючи враження, що файл походить із надійного законного джерела.

22) CVE-2019-0803 – у Windows існує вразливість щодо підвищення привілеїв, коли компонент Win32k не може належним чином обробляти об’єкти в пам’яті.

23) CVE-2017-6327 – Symantec Messaging Gateway може зіткнутися з проблемою віддаленого виконання коду.

24) CVE-2020-3118 – уразливість у реалізації протоколу Cisco Discovery Protocol для програмного забезпечення Cisco IOS XR може дозволити неавтентифікованому суміжному зловмиснику виконати довільний код або спричинити перезавантаження ураженого пристрою.

25) CVE-2020-8515 – пристрої DrayTek Vigor дозволяють віддалене виконання коду як root (без автентифікації) через метасимволи оболонки.

Читати далі тут.