美国国家安全局(NSA)发布了一份报告,并公布了25个“中国黑客”在野攻击中利用的漏洞,其中包括已经被修复的知名漏洞。
大部分在公布名单里的漏洞都是可以公开获取的,所以常被黑客利用。通过这些漏洞,黑客可以获得对目标网络的初始访问权限。从Internet直接访问的系统会受到很大影响,如防火墙和网关。
该报告除了对这一系列漏洞进行了详细描述,也提出了缓解措施建议。美国机构建议政府部门以及企业积极应对这些漏洞,以减小敏感信息丢失的风险。
具体公布的漏洞名单包括:
1) CVE-2019-11510-在Pulse Secure V**服务器上,未经身份验证的远程攻击者可以发送特制的URI来执行任意文件读取漏洞。这可能会导致密钥或密码泄露。 2) CVE-2020-5902-在F5 BIG-IP代理和负载平衡器上,流量管理用户界面(TMUI)(也称为配置实用程序)在未公开页面中具有远程执行代码(RCE)漏洞。 3) CVE-2019-19781-Citrix应用程序交付控制器(ADC)和网关系统容易受到目录遍历漏洞的影响。这可能导致在没有凭据的情况下远程执行代码。 4 、5 、 6)CVE-2020-8193, CVE-2020-8195, CVE-2020-8196-另一组Citrix ADC和网关漏洞。这些漏洞也会影响SDWAN WAN-OP系统。这三个漏洞允许未经身份验证的用户访问某些URL端点,并向低权限用户泄露信息。 7)CVE-2019-0708(又名BlueKeep)-Windows操作系统上的远程桌面服务中存在的一个远程执行代码漏洞。 8) CVE-2020-1350-MobileIron移动设备管理(MDM)软件中的远程执行代码漏洞,允许远程攻击者执行任意代码并接管远程公司服务器。 9)CVE-2020-1350(又名SIGRed)-Windows域名系统服务器无法正确处理请求时,存在远程执行代码漏洞。 10)CVE-2020-1472(又名Netlogon)-攻击者使用Netlogon远程协议(MS-NRPC)与域控制器的易受攻击的Netlogon安全通道建立连接时,存在提权漏洞。 11) CVE-2019-1040-当中间人攻击者成功绕过NTLM MIC(消息完整性检查)保护时,能够利用的一个微软Windows的篡改漏洞。 12)CVE-2018-6789-将手工消息发送到Exim邮件传输代理可能会导致缓冲区溢出。这可用于远程执行代码并接管电子邮件服务器。 13)CVE-2020-0688-当Microsoft Exchange软件无法正确处理内存中的对象时,该软件中存在一个远程执行代码漏洞。 14) CVE-2018-4939-某些Adobe ColdFusion版本存在可利用的不可信数据反序列化漏洞。成功的利用可能导致任意代码执行。 15) CVE-2015-4852-Oracle WebLogic 15 Server中的WLS安全组件允许远程攻击者通过精心制作的序列化Java对象执行任意命令。 16) CVE-2020-2555-Oracle Fusion中间件的Coherence产品中存在一个漏洞。这个容易利用的漏洞允许未经身份验证的攻击者通过T3进行网络访问,从而危害Oracle Coherence系统。 17) CVE-2019-3396-Atlassian Confluence 17 Server中的Widget Connector宏允许远程攻击者通过服务器端模板注入在Confluence Server或数据中心实例上实施路径遍历和远程代码执行。 18)CVE-2019-11580-能向Atlassian Crowd或Crowd Data Center实例发送请求的攻击者可以利用此漏洞安装任意插件,从而允许远程执行代码。 19) CVE-2020-10189-由于不信任数据的反序列化,Zoho ManageEngine Desktop Central允许远程执行代码。 20)CVE-2019-18935-ASP.NET AJAX的Progress Telerik UI包含一个.NET反序列化漏洞。漏洞利用可能导致远程执行代码。 21)CVE-2020-0601(又名CurveBall)-Windows CryptoAPI(Crypt32.dll)验证椭圆曲线密码(ECC)证书的方式中存在一个欺骗漏洞。攻击者可以通过使用欺骗性的代码签名证书对恶意可执行文件进行签名来利用此漏洞,从而使该文件冒充来自受信任的合法来源。 22)CVE-2019-0803-Windows中存在Win32k组件无法正确处理内存中对象的特权提升漏洞。 23)CVE-2017-6327-Symantec Messaging Gateway可能会遇到远程执行代码的问题。 24)CVE-2020-3118-Cisco IOS XR软件的Cisco发现协议实施中的漏洞,可允许未经身份验证的相邻攻击者执行任意代码,或导致设备重启。 25) CVE-2020-8515-DrayTek Vigor设备允许通过shell元字符以root用户身份(无需身份验证)远程执行代码。
参考链接:
https://securityaffairs.co/wordpress/109796/hacking/nsa-flaws-china-linked-hackers.html