A NSA insta os setores público e privado dos EUA a aplicar patches ou atenuações para prevenir ataques.

A Agência de Segurança Nacional dos Estados Unidos publicou hoje um relatório detalhado detalhando as 25 principais vulnerabilidades que estão sendo constantemente verificadas, direcionadas e exploradas por grupos de hackers patrocinados pelo estado chinês.

Todos os 25 bugs de segurança são bem conhecidos e têm patches disponíveis de seus fornecedores, prontos para serem instalados.

Exploits para muitas vulnerabilidades também estão disponíveis publicamente. Alguns foram explorados por mais do que apenas hackers chineses, sendo também incorporados ao arsenal de gangues de ransomware, grupos de malware de baixo nível e atores estatais de outros países (ou seja, Rússia e Irã).

"A maioria das vulnerabilidades listadas abaixo podem ser exploradas para obter acesso inicial às redes das vítimas usando produtos que são diretamente acessíveis da Internet e atuam como portas de entrada para redes internas", disse a NSA hoje.

A agência de segurança cibernética dos EUA exorta as organizações dos setores público e privado dos EUA a corrigirem os sistemas para as vulnerabilidades listadas abaixo.

Esses incluem:

1. CVE-2019-11510 - Em servidores Pulse Secure VPN, um invasor remoto não autenticado pode enviar um URI especialmente criado para executar uma vulnerabilidade de leitura de arquivo arbitrária. Isso pode levar à exposição de chaves ou senhas

2. CVE-2020-5902 - Em proxies F5 BIG-IP e balanceador de carga, o Traffic Management User Interface (TMUI), também conhecido como utilitário de configuração, é vulnerável a uma vulnerabilidade de execução remota de código (RCE) que pode permitir invasores para assumir todo o dispositivo BIG-IP.

3. CVE-2019-19781 - Os sistemas Citrix Application Delivery Controller (ADC) e Gateway são vulneráveis ​​a um bug de travessia de diretório, que pode levar à execução remota de código sem que o invasor precise possuir credenciais válidas para o dispositivo. Esses dois problemas podem ser encadeados para assumir os sistemas Citrix.

4 + 5 + 6) CVE-2020-8193 , CVE-2020-8195 , CVE-2020-8196 - Outro conjunto de bugs Citrix ADC e Gateway. Estes também impactam os sistemas SDWAN WAN-OP. Os três bugs permitem acesso não autenticado a determinados endpoints de URL e divulgação de informações para usuários com poucos privilégios.

7. CVE-2019-0708 (também conhecido como BlueKeep) - existe uma vulnerabilidade de execução remota de código nos Serviços de Área de Trabalho Remota em sistemas operacionais Windows.

8. CVE-2020-15505 - Uma vulnerabilidade de execução remota de código no software de gerenciamento de dispositivo móvel (MDM) MobileIron que permite que invasores remotos executem código arbitrário e assumam servidores remotos da empresa.

9. CVE-2020-1350 (também conhecido como SIGRed) - existe uma vulnerabilidade de execução remota de código nos servidores do Sistema de Nome de Domínio do Windows quando eles não conseguem lidar com as solicitações de maneira adequada.

10. CVE-2020-1472 (também conhecido como Netlogon) - Existe uma vulnerabilidade de elevação de privilégio quando um invasor estabelece uma conexão de canal seguro Netlogon vulnerável a um controlador de domínio usando o protocolo remoto Netlogon (MS-NRPC).

11. CVE-2019-1040 - Existe uma vulnerabilidade de adulteração no Microsoft Windows quando um invasor man-in-the-middle consegue contornar a proteção NTLM MIC (Message Integrity Check).

12. CVE-2018-6789 - Enviar uma mensagem feita à mão para um agente de transferência de correio Exim pode causar um estouro de buffer. Isso pode ser usado para executar código remotamente e assumir o controle de servidores de e-mail.

13. CVE-2020-0688 - Existe uma vulnerabilidade de execução remota de código no software Microsoft Exchange quando o software falha em manipular objetos na memória adequadamente.

14. CVE-2018-4939 - Certas versões do Adobe ColdFusion têm uma vulnerabilidade de desserialização de dados não confiáveis ​​explorável. A exploração bem-sucedida pode levar à execução arbitrária do código.

15. CVE-2015-4852 - O componente WLS Security no Oracle WebLogic 15 Server permite que invasores remotos executem comandos arbitrários por meio de um objeto Java serializado criado

16. CVE-2020-2555 - Existe uma vulnerabilidade no produto Oracle Coherence do Oracle Fusion Middleware. Essa vulnerabilidade facilmente explorável permite que um invasor não autenticado com acesso à rede via T3 comprometa os sistemas Oracle Coherence.

17. CVE-2019-3396 - A macro Widget Connector no Atlassian Confluence 17 Server permite que atacantes remotos alcancem a travessia de caminho e a execução remota de código em uma instância do Confluence Server ou Data Center por meio de injeção de template do lado do servidor.

18. CVE-2019-11580 - Os invasores que podem enviar solicitações a uma instância do Atlassian Crowd ou Crowd Data Center podem explorar esta vulnerabilidade para instalar plug-ins arbitrários, que permitem a execução remota de código.

19. CVE-2020-10189 - Zoho ManageEngine Desktop Central permite a execução remota de código devido à desserialização de dados não confiáveis.

20. CVE-2019-18935 - Progress Telerik UI para ASP.NET AJAX contém uma vulnerabilidade de desserialização do .NET. A exploração pode resultar na execução remota de código.

21. CVE-2020-0601 (também conhecido como CurveBall) - Existe uma vulnerabilidade de falsificação na maneira como o Windows CryptoAPI (Crypt32.dll) valida os certificados de criptografia de curva elíptica (ECC). Um invasor pode explorar a vulnerabilidade usando um certificado de assinatura de código falsificado para assinar um executável malicioso, fazendo parecer que o arquivo é de uma fonte confiável e legítima.

22. CVE-2019-0803 - Existe uma vulnerabilidade de elevação de privilégio no Windows quando o componente Win32k falha em manipular objetos na memória adequadamente.

23. CVE-2017-6327 - O Symantec Messaging Gateway pode encontrar um problema de execução remota de código.

24. CVE-2020-3118 - Uma vulnerabilidade na implementação do Cisco Discovery Protocol para Cisco IOS XR Software pode permitir que um invasor adjacente não autenticado execute código arbitrário ou recarregue um dispositivo afetado.

25. CVE-2020-8515 - Os dispositivos DrayTek Vigor permitem a execução remota de código como root (sem autenticação) via metacaracteres shell.

Fonte: ZDNet