Billede: Shutterstock
I slutningen af næsten syv måneder i 2021 stammer en af de 30 mest udnyttede sårbarheder fra 2017 ifølge US Cybersecurity and Infrastructure Security Agency (CISA), det australske cybersikkerhedscenter (ACSC), Det Forenede Kongeriges National Cyber Security Center (NCSC) og det amerikanske FBI.
CVE-2017-11882 er indehaveren af den tvivlsomme hæder, og det skyldes et stakbufferoverløb i ligningseditoren i Microsoft Office, hvilket kan føre til fjernudførelse af kode (RCE). Det er en udnyttelse, som leverandører allerede har slået igennem i årevis.
Kvartetten af agenturer sagde onsdag, at den nemmeste måde at reparere dette hul på, og de 29 andre listede, ville være at lappe systemer.
“Cyberaktører udnytter fortsat offentligt kendte – og ofte daterede – softwareproblemer mod brede målsætninger, herunder offentlige og private organisationer over hele verden. Enheder overalt i verden kan dog afbøde sårbarhederne … ved at anvende de tilgængelige programrettelser på deres systemer og implementering af et centraliseret patch management system, ”sagde kvartetten.
“Ondsindede cyberaktører vil sandsynligvis fortsætte med at bruge ældre kendte sårbarheder, såsom CVE-2017-11882, der påvirker Microsoft Office, så længe de forbliver effektive og systemer forbliver upatchede. Modstandernes brug af kendte sårbarheder vanskeliggør tilskrivning, reducerer omkostninger og minimerer risiko, fordi de ikke investerer i at udvikle en nul-dags udnyttelse til deres eksklusive brug, som de risikerer at miste, hvis det bliver kendt. ”
Top 30 -listen er opdelt i 14 historiske CVE'er fra 2020 og tidligere og 16 fra indeværende år.
Listen over historiske sårbarheder ledes af fire CVE'er relateret til sky, fjernarbejde eller VPN'er.
“Mange VPN-gateway-enheder forblev upatchede i løbet af 2020, med væksten i fjerntliggende arbejdsmuligheder, der udfordrede organisationens evne til at udføre streng patch management,” sagde agenturerne.
Udover patchning sagde agenturerne, at bedste praksis involverede overholdelse af Australiens Essential Eight-afbødningsstrategier.
Historiske sårbarheder
Citrix: CVE-2019-19781
Toppen af den historiske liste er Citrix NetScaler RCE, der dukkede op over jul i 2019. Denne skulle ramme tæt på hjemmet for Australien, da den blev brugt til at få adgang til en forsvarsrekrutteringsdatabase.
Pulse: CVE-2019-11510
At tage sølvmedaljen er en sårbarhed i biblioteksgennemgangen i Pulse Secure Connect, der kan resultere i vilkårlig filoplysning og lækage af administratorlegitimationsoplysninger.
“Når den er kompromitteret, kan en angriber køre vilkårlige scripts på enhver vært, der opretter forbindelse til VPN'en. Dette kan føre til, at enhver opretter forbindelse til VPN'en som et potentielt mål for at gå på kompromis,” sagde agenturerne.
“CVE-2019-11510-sårbarheden i Pulse Connect Secure VPN blev også ofte målrettet af nationalstatens APT'er. Skuespillere kan udnytte sårbarheden til at stjæle de ukrypterede legitimationsoplysninger til alle brugere på en kompromitteret Pulse VPN-server og gem uautoriserede legitimationsoplysninger for alle brugere på en kompromitteret Pulse VPN-server og kan bevare uautoriseret adgang, efter at systemet er patched, medmindre alle kompromitterede legitimationsoplysninger ændres. ”
Det lyder dejligt.
Fortinet: CVE-2018-13379
Frisk fra en maj-advarsel er Fortinets version af en bibliotekstrafikfejl, der kan føre til, at en angriber får brugernavne og adgangskoder.
“Flere malware -kampagner har udnyttet denne sårbarhed. Den mest bemærkelsesværdige er Cring ransomware (også kendt som Crypt3, Ghost, Phantom og Vjszy1lo),” advarede bureauerne.
F5- Big IP: CVE-2020-5902
Da det blev annonceret, opnåede denne CVE en perfekt 10 – så det er en big deal. Det involverede trafikstyrings-brugergrænsefladen, der tillader enhver gammel bruger at få adgang; de behøvede ikke at blive godkendt for at udføre vilkårlige kommandoer, oprette eller slette filer, deaktivere tjenester eller køre vilkårlig Java.
“Denne sårbarhed kan resultere i komplet systemkompromis”, er hvordan agenturerne undervurderede truslen.
MobileIron: CVE-2020-15505
Bliver du syg af ikke-privilegerede angribere, der fjernudfører kode på dit MobileIron-sæt? Du blev advaret i november.
Microsoft Exchange: CVE-2020-0688
Velkommen til listen Microsoft Exchange-vi har forventet dig. Denne sårbarhed fra begyndelsen af 2020 opstod, fordi Exchange-servere ikke kunne oprette en unik kryptografisk nøgle til Exchange-kontrolpanelet på installationstidspunktet, hvilket resulterede i, at angribere kunne bruge misdannede anmodninger til at køre kode under SYSTEM-sammenhæng. Lille trøst kunne findes i at vide, at godkendelse var nødvendig for at køre denne udnyttelse.
Atlassian Confluence: CVE-2019-3396
Hvis du får tilbageblik fra mange sårbarheder på denne liste, skyldes det, at NSA forsøgte at advare folk i oktober sidste år.
Denne gamle Atlassian Confluence-sårbarhed tilføjer et strejf af skabelonindsprøjtning på serversiden for ikke at blive udelukket af traversering af stier og fjernsyn for kodekørsel af andre leverandører.
Det store spørgsmål er dog, er du nødt til at logge plasteret til Confluence som en opgave i JIRA? Det tænker ikke på.
Microsoft Office: CVE-2017-11882
Dette er den ældste fejl på listen, der er relateret til ligningseditoren, der blev nævnt i starten af dette stykke. Rulle op.
Atlassian Crowd: CVE-2019-11580
Angribere kan bruge denne sårbarhed til at installere vilkårlige plugins, hvilket kan føre til fjernudførelse af kode. Agenturerne kaldte specifikt på denne sårbarhed.
“At fokusere knappe cyberforsvarsressourcer på at korrigere de sårbarheder, som cyberaktører oftest bruger, tilbyder potentialet til at styrke netværkssikkerheden, mens de hindrer vores modstanderes operationer,” sagde de.
“F.eks. var nationalstatens APT'er i 2020 i vid udstrækning afhængige af en enkelt RCE-sårbarhed opdaget i Atlassian Crowd, en centraliseret identitetsstyring og applikation (CVE-2019-11580) i sine rapporterede operationer.
“Et samlet fokus på at lappe denne sårbarhed kan have en relativ bred indvirkning ved at tvinge aktørerne til at finde alternativer, som muligvis ikke har den samme brede anvendelighed til deres målsætning.”
Drupal: CVE-2018-7600
Husk Drupalgeddon2? Manglende indgangssanitering fra den hook-crazed Drupal codebase kan føre til, at en uautoriseret angriber får ekstern kodeudførelse.
Naturligvis fulgte malware -kampagner, herunder monero -minedrift og brug af websteder som dele af botnets, hurtigt efter.
Telerik: CVE-2019-18935
Et hul i saneringen af serialiseret input i Telerik -rammer, der bruges af ASP.NET -apps, kan føre til RCE. Igen var cryptojacking ikke langt bagud.
Microsoft Sharepoint: CVE-2019-0604
For at følge med det nylige tema havde Sharepoint en sårbarhed ved deserialisering af XML på grund af manglende sanering, hvilket kunne føre til fjernudførelse af kode.
Microsoft Windows Background Intelligent Transfer Service: CVE-2020-0787
På grund af forkert håndtering af symbolske links kan en angriber bruge denne sårbarhed til at eksekvere vilkårlig kode med rettigheder på systemniveau.
Microsoft Netlogon: CVE-2020-1472
Når det blev annonceret, blev det rapporteret som et af de mest alvorlige bugs nogensinde, og med en CVSS-score på 10 var det lidt underligt.
Sårbarheden, også kendt som Zerologon, tillader en ikke-godkendt angriber at efterligne en computer på et domæne med potentialet til at deaktivere sikkerhedsfunktioner i Netlogon-godkendelsesprocessen og få domæneadministratorrettigheder.
“Trusselsaktører blev set ved at kombinere MobileIron CVE-2020-15505-sårbarheden til indledende adgang og derefter bruge Netlogons sårbarhed til at lette lateral bevægelse og yderligere kompromis med målnetværk,” sagde agenturerne.
“En national stats APT-gruppe er blevet observeret, der udnytter denne sårbarhed.”
Klassen 2021
Sammenlignet med sårbarhederne fra år før er 2021-gruppen pænt grupperet sammen og hovedsagelig relateret til et enkelt produkt, så uden yderligere ado.
Microsoft Exchange: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065
Disse sårbarheder er dem, som NATO USA, Den Europæiske Union, Det Forenede Kongerige, Australien, Canada, New Zealand og Japan sagde for nylig, at de blev tilskrevet Kina, og var de bedrifter, hvor FBI besluttede, at det var nødvendigt at sprænge netskaller på amerikanske servere.
CVE-2021-26855 tillod en uautoriseret angriber, hvis de kunne oprette forbindelse til port 443, at udnytte Exchange-kontrolpanelet via en forfalskning på serversiden, der ville give dem mulighed for at sende vilkårlige HTTP-anmodninger, godkende som Exchange Server og få adgang til postkasser.
CVE-2021-26857 brugte usikker deserialisering for at opnå RCE, mens de sidste to brugte en sårbarhed efter vilkårlig filskrivning, der kunne føre til RCE.
Pulse Secure: CVE-2021-22893, CVE-2021-22894, CVE-2021-22899, CVE-2021-22900
Den første CVE dukkede op i marts og fik hele 10 karakterer for at give en fjernautoriseret bruger mulighed for at eksekvere vilkårlig kode, mens den anden og tredje CVE var tæt på den 9.9 og relateret til fjernautentificerede brugere, der kunne udføre vilkårlig kode. I tilfælde af CVE-2021-22894 var dette som rodbrugeren.
CVE-2021-22900 scorede en mere beskeden 7.2 og relaterede til en godkendt administrator til at udføre en filskrivning takket være et ondsindet udformet arkiv uploadet via administratorens webgrænseflade.
Accellion: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104
De hacks, der opstod via Accellion FTA-filoverførselstjeneste ser ud til at fortsætte med at komme, med ofre inklusive Reserve Bank of New Zealand, Australian Securities and Investments Commission, Singtel og mange andre organisationer rundt om i verden.
I februar sagde Accellion, at det ville trække det sårbare produkt tilbage.
VMware: CVE-2021-21985
Den nylige sårbarhed, der ramte vCenter Server og Cloud Foundation, der giver mulighed for RCE, gjorde også snittet. Når det blev annonceret, advarede VMware om, at da angriberen kun behøver at være i stand til at ramme port 443 for at udføre angrebet, er firewallkontroller den sidste forsvarslinie for brugerne.
Fortinet: CVE-2018-13379, CVE-2020-12812, CVE-2019-5591
Det er rigtigt, CVE-2018-13379 lavede begge lister. Hvilken ære.
Relateret dækning
Kaseya opfordrer kunderne til øjeblikkeligt at lukke VSA -servere efter ransomware -angreb Microsoft juli 2021 -patch tirsdag: 117 sårbarheder, Pwn2Own Exchange Server -fejl rettet Installer øjeblikkeligt: Microsoft leverer en nødrettelse til PrintNightmare -sikkerhedsfejl Microsoft tilføjer anden CVE til PrintNightmare -fjernudførelse af kodeSolarWinds frigiver sikkerhedsrådgivning, efter at Microsoft opdager sårbarhed
Relaterede emner:
Sikkerheds -tv -datastyring CXO -datacentre 