Immagine: Shutterstock
Alla fine di quasi sette mesi del 2021, una delle 30 vulnerabilità più sfruttate risale al 2017, secondo la US Cybersecurity and Infrastructure Security Agency (CISA), l'Australian Cyber Security Center (ACSC), il National Cyber Security Center del Regno Unito. (NCSC) e l'FBI statunitense.
CVE-2017-11882 è il detentore del dubbio onore ed è dovuto a un overflow del buffer dello stack nell'editor di equazioni di Microsoft Office, che può portare all'esecuzione di codice remoto (RCE). È un exploit su cui i fornitori si battono già da anni.
Il quartetto di agenzie ha dichiarato mercoledì che il modo più semplice per risolvere questo buco, e gli altri 29 elencati, sarebbe quello di riparare i sistemi.
“Gli attori informatici continuano a sfruttare vulnerabilità del software pubblicamente note e spesso datate contro ampi gruppi di obiettivi, comprese le organizzazioni del settore pubblico e privato in tutto il mondo. Tuttavia, le entità di tutto il mondo possono mitigare le vulnerabilità … applicando le patch disponibili ai loro sistemi e implementare un sistema centralizzato di gestione delle patch”, ha affermato il quartetto.
“Molto probabilmente gli attori informatici dannosi continueranno a utilizzare vulnerabilità note precedenti, come CVE-2017-11882 che interessano Microsoft Office, a condizione che rimangano efficaci e i sistemi rimangano privi di patch. L'uso da parte degli avversari di vulnerabilità note complica l'attribuzione, riduce i costi e minimizza rischio perché non stanno investendo nello sviluppo di un exploit zero-day per il loro uso esclusivo, che rischiano di perdere se viene scoperto.”
L'elenco dei primi 30 è suddiviso in 14 CVE storici del 2020 e precedenti e 16 dell'anno in corso.
L'elenco delle vulnerabilità storiche è guidato da quattro CVE relativi a cloud, lavoro remoto o VPN.
“Molti dispositivi gateway VPN sono rimasti senza patch durante il 2020, con la crescita delle opzioni di lavoro remoto che ha messo a dura prova la capacità dell'organizzazione di condurre una rigorosa gestione delle patch”, hanno affermato le agenzie.
Oltre alle patch, le agenzie hanno affermato che le migliori pratiche implicano l'adesione alle strategie di mitigazione Essential Eight dell'Australia.
Vulnerabilità storiche
Citrix: CVE-2019-19781
In cima alla lista storica c'è il Citrix NetScaler RCE apparso a Natale nel 2019. Questo dovrebbe colpire vicino a casa per l'Australia poiché è stato utilizzato per accedere a un database di reclutamento della Difesa.
Pulse: CVE-2019-11510
La conquista della medaglia d'argento è una vulnerabilità di attraversamento di directory in Pulse Secure Connect che può comportare la divulgazione arbitraria di file e la perdita di credenziali di amministratore.
“Una volta compromesso, un utente malintenzionato può eseguire script arbitrari su qualsiasi host che si connette alla VPN. Ciò potrebbe portare a chiunque si connetta alla VPN come potenziale obiettivo da compromettere”, hanno affermato le agenzie.
“Anche la vulnerabilità CVE-2019-11510 in Pulse Connect Secure VPN è stata spesso presa di mira dagli APT statali. Gli attori possono sfruttare la vulnerabilità per rubare le credenziali non crittografate per tutti gli utenti su un server Pulse VPN compromesso e conserva le credenziali non autorizzate per tutti gli utenti su un server Pulse VPN compromesso e può mantenere l'accesso non autorizzato dopo la patch del sistema, a meno che non vengano modificate tutte le credenziali compromesse.”
Sembra carino.
Fortinet: CVE-2018-13379
L'ultimo avviso di maggio è la versione di Fortinet di un bug di attraversamento di directory che può portare un utente malintenzionato a ottenere nomi utente e password.
“Più campagne di malware hanno sfruttato questa vulnerabilità. Il più notevole è il ransomware Cring (noto anche come Crypt3, Ghost, Phantom e Vjszy1lo)”, hanno avvertito le agenzie.
F5- IP grande: CVE-2020-5902
Quando è stato annunciato, questo CVE ha ottenuto un perfetto 10, quindi è un grosso problema. Coinvolgeva l'interfaccia utente di gestione del traffico che permetteva a qualsiasi vecchio utente di ottenere l'accesso; non avevano bisogno di essere autenticati per eseguire comandi arbitrari, creare o eliminare file, disabilitare servizi o eseguire Java arbitrario.
“Questa vulnerabilità può portare a una completa compromissione del sistema”, è il modo in cui le agenzie hanno sottovalutato la minaccia.
MobileIron: CVE-2020-15505
Sei stufo degli aggressori senza privilegi che eseguono il codice in remoto sul tuo kit MobileIron? Beh, sei stato avvertito a novembre.
Microsoft Exchange: CVE-2020-0688
Benvenuto nell'elenco Microsoft Exchange: ti stavamo aspettando. Questa vulnerabilità dell'inizio del 2020 si è verificata perché i server di Exchange non sono riusciti a creare una chiave crittografica univoca per il pannello di controllo di Exchange al momento dell'installazione, il che ha consentito agli aggressori di utilizzare richieste non valide per eseguire il codice nel contesto SYSTEM. È stato possibile trovare un piccolo sollievo nel sapere che era necessaria l'autenticazione per eseguire questo exploit.
Atlassian Confluence: CVE-2019-3396
Se ricevi flashback da molte vulnerabilità in questo elenco, è perché l'NSA ha cercato di avvertire le persone lo scorso ottobre.
Per non essere lasciata fuori dall'attraversamento del percorso e dalle buffonate di esecuzione del codice remoto di altri fornitori, questa vecchia vulnerabilità di Atlassian Confluence aggiunge un tocco di iniezione di modello lato server.
La grande domanda però è: devi registrare la patch su Confluence come un'attività in JIRA? Non è il caso di pensarci.
Microsoft Office: CVE-2017-11882
Questo è il bug più vecchio nell'elenco, relativo all'editor di equazioni, menzionato all'inizio di questo articolo. Scorrere verso l'alto.
Atlassian Crowd: CVE-2019-11580
Gli aggressori possono utilizzare questa vulnerabilità per installare plug-in arbitrari, che possono portare all'esecuzione di codice in remoto. Le agenzie hanno segnalato specificamente questa vulnerabilità.
“Concentrare le scarse risorse di difesa informatica sulla correzione di quelle vulnerabilità che gli attori informatici più spesso utilizzano offre il potenziale di rafforzare la sicurezza della rete ostacolando le operazioni dei nostri avversari”, hanno affermato.
“Ad esempio, gli APT degli stati-nazione nel 2020 si sono basati ampiamente su una singola vulnerabilità RCE scoperta in Atlassian Crowd, un'applicazione e gestione centralizzata dell'identità (CVE-2019-11580) nelle sue operazioni segnalate.
” p>
“Un focus concertato sulla correzione di questa vulnerabilità potrebbe avere un impatto relativamente ampio costringendo gli attori a trovare alternative, che potrebbero non avere la stessa ampia applicabilità al loro set di obiettivi”.
Drupal: CVE-2018-7600
Ricordi Drupalgeddon2? Una mancanza di risanamento dell'input dal codebase Drupal impazzito può portare un utente malintenzionato non autenticato a ottenere l'esecuzione di codice remoto.
Naturalmente, sono seguite rapidamente le campagne di malware tra cui il mining di monero e l'utilizzo di siti come parti di botnet.
Telerik: CVE-2019-18935
Un buco nella sanificazione dell'input serializzato nel framework Telerik usato dalle app ASP.NET può portare a RCE. Ancora una volta, il cryptojacking non era da meno.
Microsoft Sharepoint: CVE-2019-0604
Per mantenere il tema recente, Sharepoint presentava una vulnerabilità durante la deserializzazione di XML a causa della mancanza di sanificazione, che poteva portare a esecuzione di codice a distanza.
Servizio trasferimento intelligente in background di Microsoft Windows: CVE-2020-0787
A causa della gestione impropria dei collegamenti simbolici, un utente malintenzionato potrebbe sfruttare questa vulnerabilità per eseguire codice arbitrario con privilegi a livello di sistema.
Microsoft Netlogon: CVE-2020-1472
Quando è stato annunciato, è stato segnalato come uno dei bug più gravi di sempre e, con un punteggio CVSS di 10, è stato piccola meraviglia.
Nota anche come Zerologon, la vulnerabilità consente a un utente malintenzionato non autenticato di impersonare un computer in un dominio, con la possibilità di disabilitare le funzionalità di sicurezza nel processo di autenticazione di Netlogon e ottenere i privilegi di amministratore del dominio.
“Gli attori delle minacce sono stati visti combinare la vulnerabilità MobileIron CVE-2020-15505 per l'accesso iniziale, quindi utilizzare la vulnerabilità Netlogon per facilitare il movimento laterale e un'ulteriore compromissione delle reti di destinazione”, hanno affermato le agenzie.
“Un gruppo APT di uno stato nazionale è stato osservato sfruttare questa vulnerabilità.”
La classe del 2021
Rispetto alle vulnerabilità degli anni precedenti, il gruppo 2021 è ben raggruppato e per lo più correlato a un singolo prodotto, quindi senza ulteriori indugi.
Microsoft Exchange: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065
Queste vulnerabilità sono quelle che la NATO , gli Stati Uniti, l'Unione Europea, il Regno Unito, l'Australia, il Canada, la Nuova Zelanda e il Giappone hanno recentemente affermato di essere stati attribuiti alla Cina e sono stati gli exploit in cui l'FBI ha deciso di far saltare in aria le web shell sui server statunitensi.
CVE-2021-26855 ha consentito a un utente malintenzionato non autenticato, se fosse stato in grado di connettersi alla porta 443, di sfruttare il pannello di controllo di Exchange tramite un falso di richiesta lato server che avrebbe consentito loro di inviare richieste HTTP arbitrarie, autenticarsi come Exchange Server e ottenere l'accesso alle cassette postali.
CVE-2021-26857 ha utilizzato una deserializzazione non sicura per ottenere RCE, mentre gli ultimi due hanno utilizzato una vulnerabilità di scrittura di file arbitraria post-autenticazione che potrebbe portare a RCE.
Pulse Secure: CVE-2021-22893, CVE-2021-22894, CVE-2021-22899, CVE-2021-22900
Apparso a marzo, il primo CVE ha ottenuto un punteggio pieno di 10 per aver consentito a un utente remoto non autenticato di eseguire codice arbitrario, mentre il secondo e il terzo CVE erano vicini al 9.9 e riguardavano gli utenti autenticati remoti in grado di eseguire codice arbitrario. Nel caso di CVE-2021-22894, questo era l'utente root.
CVE-2021-22900 ha ottenuto un punteggio 7.2 più modesto e si riferiva a un amministratore autenticato per l'esecuzione di una scrittura di file grazie a un archivio pericoloso caricato tramite l'interfaccia web dell'amministratore.
Accellion: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104
Gli hack verificatisi tramite il servizio di trasferimento file FTA di Accellion sembrano continuare, con vittime tra cui la Reserve Bank of New Zealand, la Australian Securities and Investments Commission, Singtel e molte altre organizzazioni in tutto il mondo.
A febbraio, Accellion ha dichiarato che avrebbe ritirato il prodotto vulnerabile.
VMware: CVE-2021-21985
Anche la recente vulnerabilità che ha colpito vCenter Server e Cloud Foundation che consente RCE è stata tagliata. Quando è stato annunciato, VMware ha avvertito che poiché l'attaccante deve solo essere in grado di raggiungere la porta 443 per condurre l'attacco, i controlli del firewall sono l'ultima linea di difesa per gli utenti.
Fortinet: CVE-2018-13379, CVE-2020-12812, CVE-2019-5591
Esatto, CVE-2018-13379 ha fatto entrambe le liste. Che onore.
Copertura correlata
Kaseya esorta i clienti a spegnere immediatamente i server VSA dopo un attacco ransomwareMicrosoft luglio 2021 Patch Tuesday: 117 vulnerabilità, bug Pwn2Own Exchange Server risoltoInstalla immediatamente: Microsoft fornisce patch di emergenza per il bug di sicurezza PrintNightmareMicrosoft aggiunge un secondo CVE per l'esecuzione del codice remoto PrintNightmareSolarWinds rilascia un avviso di sicurezza dopo che Microsoft ha scoperto la vulnerabilità
Argomenti correlati:
Security TV Data Management CXO Data Centers 