На этой неделе Агентство национальной безопасности США
с подробным описанием 25 уязвимостей, которые чаще всего используются «правительственными» хакерскими группами из Китая.Все эти уязвимости хорошо известны и для них давно выпущены патчи. Увы, далеко не все пользователи и компании вовремя обновляют свое ПО, а для этих багов также свободно доступны и эксплоиты.В АНБ отмечают, что многие из этих проблем используются не только китайскими хакерами, но входят в арсенал операторов вымогателей, более мелких хак-групп, а также других «правительственных» хакеров, в том числе из России и Ирана.
«Большинство перечисленных ниже уязвимостей, могут быть использованы для получения первоначального доступа к сетям жертв, при помощи продуктов, которые доступны напрямую из интернета и действуют как шлюзы для внутренних сетей», — объясняют специалисты АНБ.
Сам список уязвимостей выглядит следующим образом:
1) : удаленный злоумышленник может без аутентификации отправить специально подготовленный URI на серверы Pulse Secure VPN, чтобы осуществить чтение произвольного файла. Баг может привести к раскрытию ключей или паролей.
2) : Traffic Management User Interface (TMUI) на прокси-серверах и балансировщиках нагрузки F5 BIG-IP уязвим перед RCE-багом, который допускает удаленное выполнение произвольного кода и полную компрометацию устройства.
3) : системы Citrix Application Delivery Controller (ADC) и шлюзы компании уязвимы перед проблемой обхода каталогов, которая может привести к удаленному выполнению произвольного кода без каких-либо учетных данных. Объединив эти проблемы, можно полностью скомпрометировать системы Citrix.
4, 5 и 6) , , : еще один набор ошибок в шлюзах и Citrix ADC. Эти проблемы также опасны для SDWAN WAN-OP. Уязвимости позволяют получить неаутентифицированный доступ к определенным эндпоинтам URL и ведут к раскрытию информации низко привилегированных пользователей.
7) (она же BlueKeep): RCE-уязвимость в Remote Desktop Services в Windows-системах.
8) : RCE-уязвимость в MobileIron MDM, которая позволяет удаленным злоумышленникам выполнять произвольный код и захватывать удаленные серверы.
9) (она же SIGRed): RCE-уязвимость на серверах Windows Domain Name System, которая сводится к тому, что они не могут должным образом обрабатывать запросы.
10) (она же Zerologon): уязвимость, опирается на слабый криптографический алгоритм, используемый в процессе аутентификации Netlogon. Позволяет выдать себя за любой компьютер в сети в ходе аутентификации на контроллере домена, отключить защитные механизмы; изменять пароли в Active Directory контроллера домена.
11) : удаленный MitM-злоумышленник может обойти защиту NTLM MIC (Message Integrity Check) в Microsoft Windows.
12) : отправка созданного вручную сообщения Exim может спровоцировать переполнение буфера. Это может использовать для удаленного выполнения кода и захвата почтовых серверов.
13) : RCE-уязвимость в Microsoft Exchange, связанная с некорректной обработкой объектов в памяти.
14) : некоторые версии Adobe ColdFusion подвержены уязвимости типа Deserialization of Untrusted Data. Успешная эксплуатация бага может привести к выполнению произвольного кода.
15) : компонент WLS Security в Oracle WebLogic 15 Server позволяет удаленным атакующим выполнять произвольные команды через создание сериализованного Java-объекта.
16) : в Oracle Coherence в Oracle Fusion содержится баг, который позволяет злоумышленнику без аутентификации и имеющему доступ к сети через T3, взломать Oracle Coherence.
17) : макрос The Widget Connector в Atlassian Confluence 17 Server позволяет удаленным хакерам осуществлять обход пути (path traversal) и удаленное выполнение кода на Confluence Server или Data Center с помощью инъекций шаблона на стороне сервера.
18) : атакующий может отправлять запросы Atlassian Crowd или Crowd Data Center, и использовать эту уязвимость для установки произвольных плагинов, которые в итоге осуществят удаленное выполнение кода.
19) : Zoho ManageEngine Desktop Central допускает удаленное выполнение кода из-за десериализации недоверенных данных.
20) : пользовательский интерфейс Progress Telerik для ASP.NET AJAX содержит уязвимость десериализации .NET. Эксплуатация может привести к удаленному выполнению кода.
21) (она же CurveBall): спуфинговый баг присутствует в Windows CryptoAPI (Crypt32.dll) во время валидации сертификатов Elliptic Curve Cryptography (ECC). Злоумышленник может использовать поддельный сертификат для подписания кода вредоносных исполняемых файлов, создавая впечатление, будто малварь происходит из надежного, легитимного источника.
22) : уязвимость повышения привилегий в Windows, связанная с тем, что компонент Win32k некорректно обрабатывает объекты в памяти.
23) : RCE-уязвимость в Symantec Messaging Gateway.
24) : уязвимость, обнаруженная в имплементации Cisco Discovery Protocol для Cisco IOS XR Software позволяет неаутентифицированному, находящемуся неподалеку злоумышленнику выполнить произвольный код или спровоцировать перезагрузку уязвимого устройства.
25) : девайсы DrayTek Vigor допускают удаленное выполнение кода от имени root (без аутентификации) с помощью shell метасимволов.
«Большинство перечисленных ниже уязвимостей, могут быть использованы для получения первоначального доступа к сетям жертв, при помощи продуктов, которые доступны напрямую из интернета и действуют как шлюзы для внутренних сетей», — объясняют специалисты АНБ.
Сам список уязвимостей выглядит следующим образом:
1) : удаленный злоумышленник может без аутентификации отправить специально подготовленный URI на серверы Pulse Secure VPN, чтобы осуществить чтение произвольного файла. Баг может привести к раскрытию ключей или паролей.
2) : Traffic Management User Interface (TMUI) на прокси-серверах и балансировщиках нагрузки F5 BIG-IP уязвим перед RCE-багом, который допускает удаленное выполнение произвольного кода и полную компрометацию устройства.
3) : системы Citrix Application Delivery Controller (ADC) и шлюзы компании уязвимы перед проблемой обхода каталогов, которая может привести к удаленному выполнению произвольного кода без каких-либо учетных данных. Объединив эти проблемы, можно полностью скомпрометировать системы Citrix.
4, 5 и 6) , , : еще один набор ошибок в шлюзах и Citrix ADC. Эти проблемы также опасны для SDWAN WAN-OP. Уязвимости позволяют получить неаутентифицированный доступ к определенным эндпоинтам URL и ведут к раскрытию информации низко привилегированных пользователей.
7) (она же BlueKeep): RCE-уязвимость в Remote Desktop Services в Windows-системах.
8) : RCE-уязвимость в MobileIron MDM, которая позволяет удаленным злоумышленникам выполнять произвольный код и захватывать удаленные серверы.
9) (она же SIGRed): RCE-уязвимость на серверах Windows Domain Name System, которая сводится к тому, что они не могут должным образом обрабатывать запросы.
10) (она же Zerologon): уязвимость, опирается на слабый криптографический алгоритм, используемый в процессе аутентификации Netlogon. Позволяет выдать себя за любой компьютер в сети в ходе аутентификации на контроллере домена, отключить защитные механизмы; изменять пароли в Active Directory контроллера домена.
11) : удаленный MitM-злоумышленник может обойти защиту NTLM MIC (Message Integrity Check) в Microsoft Windows.
12) : отправка созданного вручную сообщения Exim может спровоцировать переполнение буфера. Это может использовать для удаленного выполнения кода и захвата почтовых серверов.
13) : RCE-уязвимость в Microsoft Exchange, связанная с некорректной обработкой объектов в памяти.
14) : некоторые версии Adobe ColdFusion подвержены уязвимости типа Deserialization of Untrusted Data. Успешная эксплуатация бага может привести к выполнению произвольного кода.
15) : компонент WLS Security в Oracle WebLogic 15 Server позволяет удаленным атакующим выполнять произвольные команды через создание сериализованного Java-объекта.
16) : в Oracle Coherence в Oracle Fusion содержится баг, который позволяет злоумышленнику без аутентификации и имеющему доступ к сети через T3, взломать Oracle Coherence.
17) : макрос The Widget Connector в Atlassian Confluence 17 Server позволяет удаленным хакерам осуществлять обход пути (path traversal) и удаленное выполнение кода на Confluence Server или Data Center с помощью инъекций шаблона на стороне сервера.
18) : атакующий может отправлять запросы Atlassian Crowd или Crowd Data Center, и использовать эту уязвимость для установки произвольных плагинов, которые в итоге осуществят удаленное выполнение кода.
19) : Zoho ManageEngine Desktop Central допускает удаленное выполнение кода из-за десериализации недоверенных данных.
20) : пользовательский интерфейс Progress Telerik для ASP.NET AJAX содержит уязвимость десериализации .NET. Эксплуатация может привести к удаленному выполнению кода.
21) (она же CurveBall): спуфинговый баг присутствует в Windows CryptoAPI (Crypt32.dll) во время валидации сертификатов Elliptic Curve Cryptography (ECC). Злоумышленник может использовать поддельный сертификат для подписания кода вредоносных исполняемых файлов, создавая впечатление, будто малварь происходит из надежного, легитимного источника.
22) : уязвимость повышения привилегий в Windows, связанная с тем, что компонент Win32k некорректно обрабатывает объекты в памяти.
23) : RCE-уязвимость в Symantec Messaging Gateway.
24) : уязвимость, обнаруженная в имплементации Cisco Discovery Protocol для Cisco IOS XR Software позволяет неаутентифицированному, находящемуся неподалеку злоумышленнику выполнить произвольный код или спровоцировать перезагрузку уязвимого устройства.
25) : девайсы DrayTek Vigor допускают удаленное выполнение кода от имени root (без аутентификации) с помощью shell метасимволов.
