Top 25 lỗ hổng đang bị tin tặc Trung Quốc lợi dụng khai thác

Thảo luận trong 'Cảnh báo an ninh mạng' bắt đầu bởi whf, 21/10/20, 02:10 AM.

  1. whf

    whf Super Moderator Thành viên BQT

    Tham gia: 06/07/13, 03:07 AM
    Bài viết: 1,163
    Đã được thích: 753
    Điểm thành tích:
    113
    Trong một cảnh báo gần đây, Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) đã đưa ra top 25 lỗ hổng đang được các tin tặc do nhà nước Trung Quốc bảo trợ sử dụng tấn công có chủ đích vào các hệ thống quan trọng nhằm chiếm quyền truy cập, đánh cắp thông tin nhạy cảm.
    upload_2020-10-21_2-37-33.png

    Các lỗ hổng được sử dụng trong các giai đoạn tấn công khác nhau

    NSA đã phân loại các nhóm lỗ hổng khác nhau để minh họa cách chúng được sử dụng trong các cuộc tấn công mạng.

    Khai thác truy cập từ xa an toàn: Để có được quyền truy cập vào mạng, tin tặc Trung Quốc sử dụng bảy lỗ hổng khác nhau.

    • CVE-2019-11510 - Lỗ hổng Pulse Secure VPN cho phép kẻ tấn công chưa được xác thực có quyền truy cập vào thông tin đăng nhập VPN.
    • CVE-2020-5902 - Lỗ hổng thực thi mã từ xa trình cân bằng tải / proxy F5 BIG-IP® 8.
    • CVE-2019-19781 - Lỗ hổng directory traversal trong Citrix ADC có thể dẫn đến thực thi mã từ xa mà không cần thông tin xác thực.
    • CVE-2020-8193 - Lỗ hổng Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP cho phép truy cập không xác thực vào một số điểm cuối URL nhất định và tiết lộ thông tin cho người dùng có đặc quyền thấp.
    • CVE-2020-8195 - Lỗ hổng Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP cho phép truy cập không xác thực vào một số điểm cuối URL nhất định và tiết lộ thông tin cho người dùng có đặc quyền thấp
    • CVE-2020-8196 - Lỗ hổng Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP cho phép truy cập không xác thực vào các điểm cuối URL nhất định và tiết lộ thông tin cho người dùng có đặc quyền thấp
    • CVE-2019-0708 - Lỗ hổng Windows BlueKeep Remote Desktop Service cho phép người dùng chưa được xác thực thực thi mã từ xa.

    Khai thác Quản lý thiết bị di động (MDM): Bằng cách xâm nhập máy chủ MDM, kẻ tấn công có thể đẩy ra các ứng dụng di động độc hại hoặc thay đổi cấu hình thiết bị gửi lưu lượng truy cập thông qua máy chủ hoặc máy chủ proxy do kẻ tấn công kiểm soát.
    • CVE-2020-15505 - Một lỗ hổng thực thi mã từ xa (RCE) trong quản lý thiết bị di động (MDM) MobileIron 13
    Khai thác Active Directory và truy cập thông tin xác thực:

    • CVE-2020-1472 - một lỗ hổng leo thang đặc quyền nghiêm trọng cho phép kẻ tấn công có quyền truy cập vào mạng của tổ chức mục tiêu để chiếm quyền điều khiển domain controller (DC), kể cả root domain controller.
    • CVE-2019-1040 - Lỗ hổng Windows NTLM cho phép kẻ tấn công giảm tính bảo mật được tích hợp sẵn cho hệ điều hành Windows.
    Khai thác các máy chủ công khai: Những kẻ tấn công sử dụng các lỗ hổng này để bypass xác thực trong máy chủ web, máy chủ email hoặc DNS để thực hiện từ xa các lệnh trong mạng nội bộ. Đối với các máy chủ web bị xâm nhập, những kẻ tấn công có thể sử dụng chúng trong các cuộc tấn công lỗ hổng để nhắm mục tiêu đến những khách truy cập trong tương lai.
    • CVE-2020-1350 - Lỗ hổng có tên SigRed ảnh hưởng các máy chủ Windows DNS cho phép những kẻ tấn công cho phép hacker khởi phát một cuộc tấn công có khả năng lây lan từ máy tính này sang máy tính khác mà không cần sự tương tác của con người.
    • CVE-2018-6789 - Lỗ hổng máy chủ mail Exim cho phép thực thi mã từ xa
    • CVE-2018-4939 - Lỗ hổng Adobe ColdFusion 14 có thể dẫn đến thực thi mã tùy ý
    • Khai thác máy chủ nội bộ: Những lỗ hổng này được sử dụng để lây lan theo chiều ngang qua mạng và chiếm quyền truy cập vào các máy chủ nội bộ, nơi những kẻ tấn công có thể đánh cắp dữ liệu có giá trị.
    • CVE-2020-0688 - Một lỗ hổng Microsoft Exchange cho phép người dùng đã xác thực thực thi mã từ xa.
    • CVE-2015-4852 - Thành phần WLS Security trong máy chủ Oracle WebLogic15 cho phép kẻ tấn công từ xa thực hiện các lệnh tùy ý thông qua đối tượng Java16 được tuần tự hóa thủ công.
    • CVE-2020-2555 - Một lỗ hổng tồn tại trong Oracle® Coherence của Oracle Fusion® Middleware.
    • CVE-2019-3396 - Lỗ hổng chèn mẫu phía máy chủ có trong Widget Connector trong máy chủ Atlassian Confluence cho phép kẻ tấn công từ xa thực hiện thực thi mã từ xa và truyền qua đường dẫn.
    • CVE-2019-11580 - Những kẻ tấn công có thể gửi yêu cầu đến một Atlassian® Crowd hoặc Crowd Data Center instance có thể khai thác lỗ hổng này để cài đặt các plugin tùy ý, cho phép thực thi mã từ xa. Lỗ hổng này đã được sử dụng trong các cuộc tấn công GandCrab ransomware trước đây.
    • CVE-2020-10189 - Lỗ hổng Zoho ManageEngine 18 Desktop Central cho phép thực thi mã từ xa. Lỗi này đã được sử dụng trong các cuộc tấn công để triển khai các backdoor.
    • CVE-2019-18935 - Một lỗ hổng trong giao diện người dùng Telerik 19 cho ASP.NET AJAX có thể dẫn đến việc thực thi mã từ xa. Nó được phát hiện dùng bởi một nhóm tin tặc có tên là 'Blue Mockingbird' để cài đặt Monero miner trên các máy chủ dễ bị tấn công nhưng cũng có thể được sử dụng để phát tán giữa các máy.
    Khai thác các máy trạm làm việc của người dùng để nâng cấp đặc quyền cục bộ: Khi kẻ tấn công giành được quyền truy cập vào một máy trạm, mục tiêu cuối cùng của chúng là giành được các thông tin hoặc đặc quyền quản trị. Sử dụng các lỗ hổng này, tin tặc có thể nâng cao đặc quyền của họ lên SYSTEM hoặc quyền truy cập của quản trị viên.
    • CVE-2020-0601 - Lỗ hổng giả mạo Windows CryptoAPI được NSA phát hiện cho phép những kẻ tấn công giả mạo chứng chỉ ký mã để làm cho các tệp thực thi độc hại dường như được ký bởi một công ty đáng tin cậy hợp pháp.
    • CVE-2019-0803 - Lỗ hổng leo thang đặc quyền tồn tại trong Windows® khi thành phần Win32k không xử lý đúng các đối tượng trong bộ nhớ.

    Khai thác thiết bị mạng: Nhóm lỗ hổng cuối cùng này cho phép kẻ tấn công monitor và sửa đổi lưu lượng mạng khi nó di chuyển qua thiết bị.
    • CVE-2017-6327 - Symantec 22 Messaging Gateway có thể gặp sự cố thực thi mã từ xa.
    • CVE-2020-3118 - Lỗ hổng 'CDPwn' của Cisco trong việc triển khai Cisco Discovery Protocol cho Phần mềm Cisco IOS 23 XR có thể cho phép thực thi mã từ xa.
    • CVE-2020-8515 - Các thiết bị DrayTek Vigor 24 cho phép thực thi mã từ xa dưới dạng root (không cần xác thực) thông qua shell metacharacter.
    Đây là những lỗ hổng có độ nguy hiểm cao và đang được các tin tặc Trung Quốc khai thác. Các quản trị viên nên kiểm tra, rà soát và vá lỗ hổng càng sớm càng tốt.

    Xem thêm:

    https://whitehat.vn/threads/cisa-ca...co-the-bi-tin-tac-khai-thac.13500/#post-36169
    https://whitehat.vn/threads/canh-bao-lo-hong-rce-trong-f5-big-ip-adc.13818/
    https://whitehat.vn/posts/35493/
    https://whitehat.vn/threads/gan-1-trieu-may-tinh-van-ton-tai-lo-hong-cve-2019-0708.12313/
    https://whitehat.vn/posts/37688/
    https://whitehat.vn/posts/37600/
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan