Bild: Shutterstock
I slutet av nästan sju månader 2021 är en av de 30 mest utnyttjade sårbarheterna från 2017, enligt US Cybersecurity and Infrastructure Security Agency (CISA), Australian Cyber Security Center (ACSC), Storbritanniens National Cyber Security Center. (NCSC) och USA: s FBI.
CVE-2017-11882 är innehavaren av den tvivelaktiga ära, och det beror på ett stack-buffertöverflöde i ekvationsredigeraren för Microsoft Office, vilket kan leda till fjärrkörning av kod (RCE). Det är ett utnyttjande som leverantörer har slagit på i flera år redan.
Byråkvartetten sa på onsdagen att det enklaste sättet att fixa det här hålet, och de 29 andra listade, skulle vara att patcha system.
“Cyberaktörer fortsätter att utnyttja offentligt kända – och ofta daterade – programvarusårbarheter mot breda målgrupper, inklusive offentliga och privata sektorsorganisationer över hela världen. Men enheter över hela världen kan mildra sårbarheterna … genom att tillämpa tillgängliga patchar på sina system och implementera ett centraliserat patchhanteringssystem “, sade kvartetten.
“Skadliga cyberaktörer kommer sannolikt att fortsätta använda äldre kända sårbarheter, till exempel CVE-2017-11882 som påverkar Microsoft Office, så länge de förblir effektiva och systemen förblir ouppdaterade. Motståndares användning av kända sårbarheter försvårar attribution, sänker kostnader och minimerar risk eftersom de inte investerar i att utveckla ett nolldagars utnyttjande för deras exklusiva användning, vilket de riskerar att förlora om det blir känt. ”
Topp 30-listan är uppdelad i 14 historiska CVE från 2020 och tidigare, och 16 från innevarande år.
Listan över historiska sårbarheter leds av fyra CVE: er relaterade till moln, distansarbete eller VPN.
“Många VPN-gatewayenheter förblev ojämna under 2020, med tillväxten av fjärrarbetsalternativ som utmanar organisationens förmåga att genomföra rigorös patchhantering”, säger byråerna.
Förutom att lappa, sade byråerna att bästa praxis handlade om att följa Australiens Essential Eight-strategier.
Historiska sårbarheter
Citrix: CVE-2019-19781
Toppen av den historiska listan är Citrix NetScaler RCE som dök upp över julen 2019. Den här borde slå nära hemmet för Australien eftersom den användes för att komma åt en försvarsrekryteringsdatabas.
Pulse: CVE-2019-11510
Att ta silvermedaljen är en sårbarhet för korsningsöverskridande i Pulse Secure Connect som kan resultera i godtycklig avslöjande av filer och läckage av administratörsuppgifter.
“När en angripare väl har äventyrats kan den köra godtyckliga skript på alla värddatorer som ansluter till VPN. Detta kan leda till att alla ansluter till VPN som ett potentiellt kompromissmål”, säger byråerna.
“CVE-2019-11510-sårbarheten i Pulse Connect Secure VPN riktades också ofta till nationell APT. Aktörer kan utnyttja sårbarheten för att stjäla okrypterade referenser för alla användare på en komprometterad Pulse VPN-server och behålla obehöriga autentiseringsuppgifter för alla användare på en komprometterad Pulse VPN -server och kan behålla obehörig åtkomst efter att systemet har korrigerats om inte alla äventyrade uppgifter ändras. ”
Det låter bra.
Fortinet: CVE-2018-13379
Ny från en maj-varning är Fortinets version av en katalogöverskridande bugg som kan leda till att en angripare får användarnamn och lösenord.
“Flera skadliga kampanjer har utnyttjat denna sårbarhet. Den mest anmärkningsvärda är Cring ransomware (även känd som Crypt3, Ghost, Phantom och Vjszy1lo),” varnade byråerna.
F5- Stor IP: CVE-2020-5902
När den tillkännagavs fick denna CVE en perfekt tio – så det är en stor grej. Det involverade trafikledningens användargränssnitt som tillät alla gamla användare att få tillgång; de behövde inte autentiseras för att utföra godtyckliga kommandon, skapa eller ta bort filer, inaktivera tjänster eller köra godtycklig Java.
“Denna sårbarhet kan resultera i fullständig systemkompromiss”, är hur byråerna underskattade hotet.
MobileIron: CVE-2020-15505
Blir du trött på oprivilegerade angripare som kör fjärrkod på ditt MobileIron -kit på distans? Du varnades i november.
Microsoft Exchange: CVE-2020-0688
Välkommen till listan Microsoft Exchange – vi har förväntat dig. Denna sårbarhet från början av 2020 inträffade eftersom Exchange-servrar misslyckades med att skapa en unik kryptografisk nyckel för Exchange-kontrollpanelen vid installationstiden, vilket resulterade i att angripare kunde använda felaktiga förfrågningar för att köra kod under SYSTEM-sammanhanget. Liten tröst kan hittas i att veta att autentisering behövs för att köra denna exploatering.
Atlassian Confluence: CVE-2019-3396
Om du får flashbacks från många sårbarheter på den här listan beror det på att NSA försökte varna människor i oktober förra året.
Denna gamla Atlassian Confluence-sårbarhet lägger inte till någon mallinjektion på serversidan för att inte lämnas utanför sökvägen och fjärrkörning av upptåg från andra leverantörer.
Den stora frågan är dock att du måste logga korrigeringsfilen till Confluence som en uppgift i JIRA? Det tänker inte tänka på.
Microsoft Office: CVE-2017-11882
Detta är den äldsta buggen på listan, relaterad till ekvationsredigeraren, som nämndes i början av detta stycke. Skrolla upp.
Atlassian Crowd: CVE-2019-11580
Angripare kan använda denna sårbarhet för att installera godtyckliga plugins, vilket kan leda till fjärrkörning av kod. Byråerna utropade denna sårbarhet specifikt.
“Att fokusera knappa cyberförsvarsresurser på att lappa de sårbarheter som cyberaktörer oftast använder erbjuder möjligheten att stärka nätverkssäkerheten samtidigt som våra motståndares verksamhet hindras”, sa de.
“Exempelvis förlitade sig nationalstatens APT 2020 i stor utsträckning på en enda RCE-sårbarhet som upptäcktes i Atlassian Crowd, en centraliserad identitetshantering och applikation (CVE-2019-11580) i sin rapporterade verksamhet.
“Ett samordnat fokus på att lappa denna sårbarhet kan ha en relativt bred inverkan genom att tvinga aktörerna att hitta alternativ, som kanske inte har samma breda tillämplighet för deras måluppsättning.”
Drupal: CVE-2018-7600
Kom ihåg Drupalgeddon2? Brist på insanitetshygien från den krokiga Drupal-kodbasen kan leda till att en oautentiserad angripare får fjärrkörning av kod.
Naturligtvis följde skadliga programkampanjer inklusive monero mining och att ha webbplatser som används som delar av botnät snabbt.
Telerik: CVE-2019-18935
Ett hål i saneringen av serieinmatning i Telerik-ramverket som används av ASP.NET-appar kan leda till RCE. Återigen var kryptojacking inte långt efter.
Microsoft Sharepoint: CVE-2019-0604
För att hålla fast vid det senaste temat hade Sharepoint en sårbarhet vid avserialisering av XML på grund av bristande sanering, vilket kan leda till fjärrkörning av kod.
Microsoft Windows Background Intelligent Transfer Service: CVE-2020-0787
På grund av felaktig hantering av symboliska länkar kan en angripare använda denna sårbarhet för att köra godtycklig kod med systemnivåbehörigheter.
Microsoft Netlogon: CVE-2020-1472
När det meddelades rapporterades det som en av de allvarligaste buggarna någonsin, och med en CVSS-poäng på 10 var det lite konstigt.
Sårbarheten, även känd som Zerologon, gör att en obehörig angripare kan utge sig för att vara en dator på en domän, med potential att inaktivera säkerhetsfunktioner i Netlogon-autentiseringsprocessen och få domänadministratörsbehörigheter.
“Hotaktörer sågs kombinera MobileIron CVE-2020-15505-sårbarheten för inledande åtkomst och sedan använda Netlogons sårbarhet för att underlätta rörelse i sidled och ytterligare kompromiss med målnätverk”, säger myndigheterna.
“En nationell APT-grupp har observerats som utnyttjar denna sårbarhet.”
Klassen 2021
Jämfört med sårbarheterna från år tidigare är 2021 -gruppen snyggt grupperade och mestadels relaterade till en enda produkt, så utan vidare.
Microsoft Exchange: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065
Dessa sårbarheter är de som NATO , USA, Europeiska unionen, Storbritannien, Australien, Kanada, Nya Zeeland och Japan sa nyligen att de tillskrevs Kina och var de bedrifter där FBI beslutade att det behövdes spränga bort webbskal på amerikanska servrar.
CVE-2021-26855 tillät en oautentiserad angripare, om de kunde ansluta till port 443, att utnyttja Exchange-kontrollpanelen via en förfalskning på serversidan som skulle göra det möjligt för dem att skicka godtyckliga HTTP-förfrågningar, autentisera sig som Exchange Server och få åtkomst till brevlådor.
CVE-2021-26857 använde osäker deserialisering för att få RCE, medan de två sista använde en post-autentisering godtycklig filskrivningssårbarhet som kan leda till RCE.
Pulssäker: CVE-2021-22893, CVE-2021-22894, CVE-2021-22899, CVE-2021-22900
Den första CVE -enheten visade sig i mars och fick hela 10 poäng för att möjliggöra för en fjärrautentiserad användare att köra godtycklig kod, medan den andra och tredje CVE var nära efter den 9.9 och relaterade till att fjärautentiserade användare kunde exekvera godtycklig kod. När det gäller CVE-2021-22894 var detta som rotanvändare.
CVE-2021-22900 fick en mer blygsam 7,2 och relaterade till en autentiserad administratör till att utföra en filskrivning tack vare ett skadligt skapat arkiv som laddades upp via administratörens webbgränssnitt.
Accellion: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104
Hackarna som uppstod via Accellion FTA filöverföringstjänst tycks fortsätta att komma, med offer inklusive Reserve Bank of New Zealand, Australian Securities and Investments Commission, Singtel och många andra organisationer runt om i världen.
I februari sade Accellion att den skulle dra tillbaka den sårbara produkten.
VMware: CVE-2021-21985
Den senaste sårbarheten som drabbade vCenter Server och Cloud Foundation som möjliggör RCE gjorde också nedskärningen. När det meddelades varnade VMware för att eftersom angriparen bara behöver kunna träffa port 443 för att genomföra attacken, är brandväggskontrollerna den sista försvarslinjen för användarna.
Fortinet: CVE-2018-13379, CVE-2020-12812, CVE-2019-5591
Det stämmer, CVE-2018-13379 gjorde båda listorna. Vilken ära.
Relaterad täckning
Kaseya uppmanar kunder att omedelbart stänga av VSA-servrar efter ransomware-attack Microsoft 2021 juli 2021 Patch tisdag: 117 sårbarheter, Pwn2Own Exchange Server-bug fixad Installera omedelbart: Microsoft levererar nödplåster för PrintNightmare säkerhetsbugg Microsoft lägger till andra CVE för PrintNightmare exekvering av fjärrkodSolarWinds släpper säkerhetsrådgivning efter att Microsoft upptäckt sårbarhet
Relaterade ämnen:
Säkerhet TV-datahantering CXO-datacenter 