АНБ. 5 уязвимостей, по которым бьют российские хакеры

Marat_1162

Стаж на ФС с 2014 г
ЖУРНАЛИСТ
Private Club
Старожил
Migalki Club
Меценат
Регистрация
25/3/16
Сообщения
4.625
Репутация
8.866
Реакции
22.633
RUB
0
Сделок через гаранта
4
Депозит
3 500 рублей
7710e9d6289d15df9c741.gif

Сегодня у нас, кое что интересное. Агентство национальной безопасности США выпустила заключение, в котором рассказывает про топ-5 уязвимостей,которые используют российские правительственные хакеры, для атак на западные сети.

Сегодня расскажем, что это за уязвимости и как происходят атаки.

Что по заключению?​

Совместное консультативное заключение Агентства национальной безопасности США (АНБ), Агентства кибербезопасности и инфраструктурной безопасности (CISA) и Федерального бюро расследований (ФБР) выявило пять уязвимостей, которые использует российская служба внешней разведки (СВР) в атаках против американских организаций и интересов.

В заключении АНБ заявило, что им известно о том, что российская СВР использует эти уязвимости против государственных служб для получения аутентификационных данных для дальнейшего компрометирования сетей американских корпоративных и правительственных сетей.

АНБ советует всем организациям немедленно исправить уязвимые устройства для защиты от кибератак, которые приводят к краже данных, банковскому мошенничеству и атакам вымогателей.

Уязвимости, используемые на разных этапах атаки​

Правительство США настоятельно рекомендует всем администраторам "срочно внедрить соответствующие меры по смягчению" этих уязвимостей, чтобы предотвратить дальнейшие атаки российской СВР и других субъектов угрозы.

nsa-advisory.jpg

Ниже приведены пять основных уязвимостей, которые АНБ, CISA и ФБР считают мишенью российской СВР:

CVE-2018-13379 целевых показателей Fortinet FortiOS от 6.0.0 до 6.0.4, от 5.6.3 до 5.6.7 и от 5.4.6 до 5.4.12:

В веб-порталах Fortinet Secure Sockets Layer Virtual Private Network

Неправильное ограничение пути к ограниченному каталогу ("Обход пути") позволяет неаутентифицированному злоумышленнику загружать системные файлы с помощью специальных созданных HTTP-запросов ресурсов

Участники угроз широко использовали эту уязвимость в прошлом для нацеливания правительственных учреждений и корпоративных сетей, включая системы поддержки выборов в правительство США, исследовательские организации COVID-19, а в последнее время-для развертывания вымогателей Cring. В ноябре 2020 года актер угрозы слил учетные данные для почти 50 000 устройств Fortinet VPN на хакерском форуме.

  • CVE-2019-9670 цели Synacor Zimbra Collaboration Suite 8.7.x до 8.7.11p10
В Synacor Zimbra Collaboration Suite компонент mailboxd имеет уязвимость XML External Entity injection.

  • CVE-2019-11510 targets Pulse Connect Secure 8.2 before 8.2R12.1, 8.3 before 8.3R7.1 и 9.0 before 9.0R3.4
В Pulse Secure VPN удаленный злоумышленник, не прошедший проверку подлинности, может отправить специально созданный унифицированный идентификатор ресурса (URI) для выполнения произвольного чтения файла.

Pulse Secure VPN уже некоторое время являются фаворитом для субъектов угроз, используемых для получения доступа к правительственным сетям США, атак на больницыи развертывания программ-вымогателей в сетях.

  • CVE-2019-19781 нацелен на версии Citrix ADC и Gateway до 13.0.47.24, 12.1.55.18, 12.0.63.13, 11.1.63.15 и 10.5.70.12, а также SD-WAN WANOP 4000-WO, 4100-WO, 5000-WO и 5100-WO до 10.2.6 b и 11.0.3 b.
Контроллер доставки приложений Citrix и шлюз позволяют обходить каталоги.

Известно, что уязвимость CVE-2019-19781 используется субъектами угроз , включая банды вымогателей, для получения доступа к корпоративным сетям и развертывания вредоносных программ.

  • CVE-2020-4006 нацелен на VMware One Access 20.01 и 20.10 в Linux, VMware Identity Manager 3.3.1 - 3.3.3 в Linux, VMware Identity Manager Connector 3.3.1 - 3.3.3 и 19.03, VMware Cloud Foundation 4.0 - 4.1 и VMware Vrealize Suite Lifecycle Manager 8.x.
VMware Workspace One Access, Access Connector, Identity Manager и Identity Manager Connector имеют уязвимость внедрения команд.

В декабре 2020 года правительство США предупредило, что спонсируемые российским государством субъекты угроз используют эту уязвимость для развертывания веб-оболочек на уязвимых серверах и эксфильтрации данных.



Американцы считают что российские правительственные кибербандиты (ну или тогда уже киберомновцы, наверное) использует комбинацию этих уязвимостей в своих атаках, настоятельно рекомендуется всем администраторам немедленно установить соответствующие обновления безопасности.
 
Сверху Снизу