Las TOP 25 vulnerabilidades activamente explotadas por Hackers patrocinados por China

0 0 jueves, 22 de octubre de 2020

La agencia de seguridad nacional de Estados Unidos, también conocida como la (NSA), recientemente ha publicado un reporte en el que expone y advierte de las 25 vulnerabilidades más utilizadas por los piratas informáticos respaldados por el estado Chino para espiar, comprometer o robar datos sensibles de los sistemas. En el reporte la NSA comenta que dichas vulnerabilidades han sido utilizadas en ataques dirigidos contra sus organismos de seguridad, como el Sistema de Seguridad Nacional (NSS), La Base Industrial de Defensa de Estados Unidos (DIB) y las redes de información del Departamento de Defensa (DoD).

También destacaron que los ataques mencionados en el reporte, se han dirigido de igual forma hacia otras organizaciones públicas y privadas de diferentes ámbitos, con el fin de obtener acceso a sus redes, implementar malware y propagarse lateralmente a través de los sistemas, mientras roban datos confidenciales.

En el reporte de la NSA, se expusieron las vulnerabilidades en forma de bloques cada uno explica una fase de ataque en las que son utilizadas. Los cuales mencionamos a continuación:


Vulnerabilidades en accesos remotos seguros

Para obtener acceso a las redes, los actores de amenaza chinos utilizan siete vulnerabilidades diferentes, algunas de ellas pueden proporcionar credenciales que pueden ser utilizadas para propagarse aún más en la red que logren comprometer.

  • CVE-2019-11510 - Una vulnerabilidad en Pulse Secure VPN que permite a un atacante no autenticado obtener acceso a las credenciales de VPN.
  • CVE-2020-5902 - Una vulnerabilidad en el balanceador de F5 BIG-IP® 8 proxy / load, la cual permite la ejecución de código remoto.
  • CVE-2020-19781 - Una vulnerabilidad que afecta al controlador de entrega de aplicaciones (ADC) y al directorio transversal de puerta de enlace de Citrix y puede conducir a un ejecución de código remoto sin credenciales.
  • CVE-2020-8193, 8195, 8196 - Vulnerabilidad que afecta a Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP, la cual permite el acceso no autenticado hacia ciertos endpoints URL y la divulgación de información a usuarios con pocos privilegios que pueden ser utilizadas para comprometer el sistema.
  • CVE-2020-0708 - Vulnerabilidad en el servicio de escritorio remoto de Windows BlueKeep, su explotación exitosa permite a usuarios no autenticados realizar ejecución remota de código.


Vulnerabilidad en administrador de dispositivos móviles (MDM)

Al comprometer servidores de administración de dispositivos móviles, los actores maliciosos pueden insertar aplicaciones móviles maliciosas o cambiar las configuraciones de los dispositivos para que todo el tráfico pase por un servidor proxy o host controlado por los atacantes.

  • CVE-2020-15505 - Vulnerabilidad de ejecución de código remoto en el administrador de dispositivos móviles MobileIron 13.


Vulnerabilidades para robar credenciales y realizar movimiento lateral

  • CVE-2020-1472 - Vulnerabilidad crítica con el máximo de severidad posible de elevación de privilegios en Windows conocido como ZeroLogon, la cual permite a un actor malicioso obtener acceso rápido a las credenciales del administrador de dominio (AD) en el controlador de dominio.
  • CVE-2019.1040 - Vulnerabilidad en el protocolo NTLM de Windows, su explotación exitosa permite a los atacantes reducir la seguridad incorporada en los sistemas operativos Windows.


Vulnerabilidades en servidores públicos o expuestos a internet

Los atacantes suelen utilizar estas vulnerabilidades para saltarse los controles de autenticación en los servidores de servicios web, correo electrónico, o DNS, para ejecutar comandos de forma remota en la red interna. También los servidores web comprometidos suelen ser utilizados para ataques watering-hole para atacar a los futuros visitantes de los sitios web alojados.

  • CVE-2020-1350 - Vulnerabilidad en servidores Windows DNS SigRed, la cual permite a los atacantes propagarse lateralmente a través de la red.
  • CVE-2018-6789 - Vulnerabilidad en servidores de correo Exim, la cual permite la ejecución de código remoto no autenticado.
  • CVE-2018-4939 - Vulnerabilidad en Adobe ColdFusion 14 que permite la iniciación de ejecución de código de forma arbitraria.


Vulnerabilidades en servidores internos

Las siguientes vulnerabilidades son usadas para propagarse lateralmente a través de la red y obtener acceso a servidores internos, con el fin de robar datos valiosos.

  • CVE-2020-0688 - Vulnerabilidad en Microsoft Exchange que permite a usuarios autenticados realizar la ejecución de código remoto.
  • CVE-2015-4852 - Vulnerabilidad en el componente de seguridad WLS de Oracle WebLogic 15 Server, su explotación exitosa permite a un atacante remoto ejecutar comandos de forma arbitraria por medio de un objeto serializado Java16 especialmente diseñado.
  • CVE-2020-2555 - Vulnerabilidad fácilmente explotable en el producto Oracle Coherence de Oracle Fusion® Middleware.
  • CVE-2019-3396 - Vulnerabilidad de inyección de template del lado del servidor en el Widget Connector en servidores Atlassian Confluence, la cual permite a un atacante remoto realizar ejecución de código de forma arbitraria, así como también path traversal.
  • CVE-2019-11580 - Vulnerabilidad que permite a atacantes ejecutar código remoto, al enviar peticiones a instancias Atlassian® Crowd o Crowd Data Center para instalar plugins arbitrarios. Destacando que esta vulnerabilidad fue utilizada en los ataques realizados por los actores detrás del ransomware GandCrab en el pasado.
  • CVE-2020-10189 - Vulnerabilidad en Zoho ManageEngine 18 Desktop Central, la cual permite la ejecución de código remoto. Destacando que esta falla fue utilizada en ataques para desplegar backdoors.
  • CVE-2020-18935 - Vulnerabilidad en la interfaz de usuario Telerik 19 para ASP.NET AJAX, la cual puede permitir la ejecución de código remoto. Fue utilizada por un grupo llamado “Blue Mockingbird” para instalar mineros de criptomonedas Monero en servidores vulnerables pero también puede usarse para propagarse lateralmente.


Vulnerabilidades para escalado de privilegios en estaciones de trabajo

  • CVE-2020-0601 - Vulnerabilidad de suplantación en Windows CryptoAPU, permite a los atacante suplantar los certificados firmados en código para hacer ejecutables maliciosos que aparenten ser firmados por una compañía de confianza.
  • CVE-2019-0803 - Vulnerabilidad de elevación de privilegios en sistemas Windows cuando el componente Win32k falla en manejar apropiadamente los objetos en la memoria.


Vulnerabilidades en dispositivos de redes

El último bloqueo menciona las vulnerabilidades que permiten a los atacantes monitorear y modificar el tráfico de datos que pasa por los dispositivos.

  • CVE-2017-6327 - Vulnerabilidad de ejecución de código remoto en Symantec 22 Messaging Gateway.
  • CVE-2020-3118 - Vulnerabilidad en el protocolo de descubrimiento de Cisco conocido como “CDPwn” para Cisco IOS 23 XR Software, su explotación exitosa permite la ejecución de código remoto.
  • CVE-2020-8515 - Vulnerabilidad de ejecución de código remoto en los dispositivos DrayTek Vigor 24 bajo el contexto de un usuario con privilegios Root, sin necesidad de autenticación por medio de metacaracteres Shell.


Siempre vamos a recordar a todos los usuarios, administradores de los sistemas, como a los profesionales en ciberseguridad priorizar sus esfuerzos en mitigar y actualizar sus sistemas, así como mantenerlos actualizados para reducir el riesgo de amenaza.



Fuente:

NSA: Top 25 vulnerabilities actively abused by Chinese hackers

Etiquetas:

COMPARTIR:

Twitter Facebook Google Pinterest

COMENTARIOS

BLOGGER
Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Las TOP 25 vulnerabilidades activamente explotadas por Hackers patrocinados por China
Las TOP 25 vulnerabilidades activamente explotadas por Hackers patrocinados por China
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj36B5AWx0xq1fI_vmwmLZOEb-hytksKEQe5EUp9WyRX6QpSAVe85kCOLfUAd4zyA46FyL3NZCcmYnVFOv74X0Cyw7pgP2xSl9CfH9__GQw6h70BrGTlkyWTyXCDlTJ_NovEfBQw5ufydk/w640-h320/NSA+warn+vulnerabilities.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj36B5AWx0xq1fI_vmwmLZOEb-hytksKEQe5EUp9WyRX6QpSAVe85kCOLfUAd4zyA46FyL3NZCcmYnVFOv74X0Cyw7pgP2xSl9CfH9__GQw6h70BrGTlkyWTyXCDlTJ_NovEfBQw5ufydk/s72-w640-c-h320/NSA+warn+vulnerabilities.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/10/las-top-25-vulnerabilidades-activamente.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/10/las-top-25-vulnerabilidades-activamente.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy