Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon La NSA publica el top 25 de vulnerabilidades aprovechadas por los hackers Chinos


La Agencia de Seguridad Nacional de EE. UU. ha publicado  un informe detallado que detalla las 25 vulnerabilidades principales que actualmente están siendo escaneadas, atacadas y explotadas constantemente por grupos de piratería informática patrocinados por el estado chino.


  • La NSA insta al sector público y privado de EE. UU. A aplicar parches o mitigaciones para prevenir ataques.

En un aviso, la NSA dijo que está al tanto de ataques dirigidos por piratas informáticos patrocinados por el estado chino contra los Sistemas de Seguridad Nacional (NSS), la Base Industrial de Defensa de los Estados Unidos (DIB) y las redes de información del Departamento de Defensa (DoD).

Como parte de estos ataques, la NSA ha visto explotar veinticinco vulnerabilidades divulgadas públicamente para obtener acceso a las redes, implementar aplicaciones móviles maliciosas y propagarse lateralmente a través de un sistema mientras los atacantes roban datos confidenciales.

Los 25 errores de seguridad son bien conocidos y tienen parches disponibles de sus proveedores, listos para ser instalados.


Los exploits para muchas vulnerabilidades también están disponibles públicamente. Algunos han sido explotados por más que piratas informáticos chinos, y también se han incorporado al arsenal de bandas de ransomware, grupos de malware de bajo nivel y actores estatales de otros países (es decir, Rusia e Irán).

"La mayoría de las vulnerabilidades enumeradas a continuación pueden explotarse para obtener acceso inicial a las redes de las víctimas utilizando productos a los que se puede acceder directamente desde Internet y actúan como puertas de enlace a las redes internas", dijo hoy la NSA.

La agencia de ciberseguridad de EE. UU. Insta a las organizaciones del sector público y privado de EE. UU. A parchear los sistemas para las vulnerabilidades que se enumeran a continuación.


Listado TOP 25 vulnerabilidades

Dispositivos de red

  • 1) CVE-2019-11510: en los servidores Pulse Secure VPN, un atacante remoto no autenticado puede enviar un URI especialmente diseñado para realizar una vulnerabilidad de lectura de archivos arbitraria. Esto puede provocar la exposición de claves o contraseñas


  • 2) CVE-2020-5902: en proxies F5 BIG-IP y balanceador de carga, la interfaz de usuario de administración de tráfico (TMUI), también conocida como utilidad de configuración, es vulnerable a una vulnerabilidad de ejecución remota de código (RCE) que puede permitir atacantes para apoderarse de todo el dispositivo BIG-IP.


  • 3) CVE-2019-19781: los sistemas Citrix Application Delivery Controller (ADC) y Gateway son vulnerables a un error de recorrido de directorio, que puede conducir a la ejecución remota de código sin que el atacante tenga que poseer credenciales válidas para el dispositivo. Estos dos problemas se pueden encadenar para hacerse cargo de los sistemas Citrix.


  • 4 + 5 + 6) CVE-2020-8193, CVE-2020-8195, CVE-2020-8196: otro conjunto de errores de Citrix ADC y Gateway. Estos también afectan a los sistemas SDWAN WAN-OP. Los tres errores permiten el acceso no autenticado a ciertos puntos finales de URL y la divulgación de información a usuarios con pocos privilegios.

Microsoft Windows

  • 7) CVE-2019-0708 (también conocido como BlueKeep): existe una vulnerabilidad de ejecución remota de código dentro de los Servicios de escritorio remoto en los sistemas operativos Windows.


  • 8) CVE-2020-15505: una vulnerabilidad de ejecución remota de código en el software de administración de dispositivos móviles (MDM) MobileIron que permite a atacantes remotos ejecutar código arbitrario y hacerse cargo de los servidores remotos de la empresa.


  • 9) CVE-2020-1350 (también conocido como SIGRed): existe una vulnerabilidad de ejecución remota de código en los servidores del Sistema de nombres de dominio de Windows cuando no pueden manejar adecuadamente las solicitudes.


  • 10) CVE-2020-1472 (también conocido como Netlogon): existe una vulnerabilidad de elevación de privilegios cuando un atacante establece una conexión de canal seguro Netlogon vulnerable a un controlador de dominio mediante el protocolo remoto Netlogon (MS-NRPC).


  • 11) CVE-2019-1040: existe una vulnerabilidad de manipulación en Microsoft Windows cuando un atacante de intermediario puede eludir con éxito la protección NTLM MIC (verificación de integridad de mensajes).


  • 12) CVE-2018-6789: enviar un mensaje hecho a mano a un agente de transferencia de correo de Exim puede provocar un desbordamiento del búfer. Esto se puede utilizar para ejecutar código de forma remota y hacerse cargo de los servidores de correo electrónico.


  • 13) CVE-2020-0688: existe una vulnerabilidad de ejecución remota de código en el software Microsoft Exchange cuando el software no puede manejar correctamente los objetos en la memoria.


  • 14) CVE-2018-4939: ciertas versiones de Adobe ColdFusion tienen una vulnerabilidad explotable de deserialización de datos no confiables. La explotación exitosa podría conducir a la ejecución de código arbitrario.


  • 15) CVE-2015-4852: el componente de seguridad WLS en Oracle WebLogic 15 Server permite a atacantes remotos ejecutar comandos arbitrarios a través de un objeto Java serializado diseñado


  • 16) CVE-2020-2555: existe una vulnerabilidad en el producto Oracle Coherence de Oracle Fusion Middleware. Esta vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de T3 comprometer los sistemas Oracle Coherence.


  • 17) CVE-2019-3396: la macro del conector de widgets en Atlassian Confluence 17 Server permite a los atacantes remotos lograr un recorrido de ruta y una ejecución remota de código en una instancia de Confluence Server o centro de datos mediante la inyección de plantillas del lado del servidor.


  • 8) CVE-2019-11580: los atacantes que pueden enviar solicitudes a una instancia de Atlassian Crowd o Crowd Data Center pueden aprovechar esta vulnerabilidad para instalar complementos arbitrarios, lo que permite la ejecución remota de código.


  • 19) CVE-2020-10189: Zoho ManageEngine Desktop Central permite la ejecución remota de código debido a la deserialización de datos que no son de confianza.


  • 20) CVE-2019-18935 - Progress Telerik UI para ASP.NET AJAX contiene una vulnerabilidad de deserialización de .NET. La explotación puede resultar en la ejecución remota de código.


  • 21) CVE-2020-0601 (también conocido como CurveBall): existe una vulnerabilidad de suplantación de identidad en la forma en que Windows CryptoAPI (Crypt32.dll) valida los certificados de criptografía de curva elíptica (ECC). Un atacante podría aprovechar la vulnerabilidad mediante el uso de un certificado de firma de código falsificado para firmar un ejecutable malicioso, haciendo que parezca que el archivo proviene de una fuente legítima y confiable.


  • 22) CVE-2019-0803: existe una vulnerabilidad de elevación de privilegios en Windows cuando el componente Win32k no puede manejar correctamente los objetos en la memoria.


  • 23) CVE-2017-6327: Symantec Messaging Gateway puede encontrar un problema de ejecución remota de código.


  • 24) CVE-2020-3118: una vulnerabilidad en la implementación del Protocolo de descubrimiento de Cisco para el software Cisco IOS XR podría permitir que un atacante adyacente no autenticado ejecute código arbitrario o provoque la recarga de un dispositivo afectado.


  • 25) CVE-2020-8515 - Los dispositivos DrayTek Vigor permiten la ejecución remota de código como root (sin autenticación) a través de metacaracteres de shell.





En el mismo listado categorizado las vulnerabilidades en diferentes grupos para ilustrar cómo se utilizan en los ciberataques.

Aprovechar el acceso remoto seguro: para obtener acceso a las redes, los actores de amenazas chinos utilizan siete vulnerabilidades diferentes, muchas de las cuales también proporcionan credenciales que se pueden usar para propagarse más en la red.

  •     CVE-2019-11510: vulnerabilidades de Pulse Secure VPN que permiten que un atacante no autenticado obtenga acceso a las credenciales de VPN.
  •     CVE-2020-5902: una vulnerabilidad de ejecución remota de código del balanceador de carga / proxy F5 BIG-IP® 8.
  •     CVE-2019-19781: una vulnerabilidad de cruce de directorios de Citrix Application Delivery Controller (ADC) y Gateway, que puede llevar a la ejecución remota de código sin credenciales.
  •     CVE-2020-8193: la vulnerabilidad Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP permite el acceso no autenticado a ciertos puntos finales de URL y la divulgación de información a usuarios con pocos privilegios
  •     CVE-2020-8195: la vulnerabilidad Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP permite el acceso no autenticado a ciertos puntos finales de URL y la divulgación de información a usuarios con pocos privilegios
  •     CVE-2020-8196: la vulnerabilidad Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP permite el acceso no autenticado a ciertos puntos finales de URL y la divulgación de información a usuarios con pocos privilegios
  •     CVE-2019-0708: la vulnerabilidad del servicio de escritorio remoto de Windows BlueKeep permite a los usuarios no autenticados realizar la ejecución remota de código.

Explotar la administración de dispositivos móviles (MDM): al comprometer los servidores MDM, los actores de amenazas pueden expulsar aplicaciones móviles maliciosas o cambiar configuraciones de dispositivos que envían tráfico a través de servidores proxy o hosts controlados por atacantes.

  •     CVE-2020-15505: una vulnerabilidad de ejecución remota de código en la administración de dispositivos móviles (MDM) MobileIron 13

Aproveche Active Directory para movimiento lateral y acceso a credenciales:

  •     CVE-2020-1472: la vulnerabilidad crítica de elevación de privilegios 10/10 de Windows ZeroLogon Netlogon permite a los actores de amenazas obtener rápidamente acceso a las credenciales de administrador de dominio en un controlador de dominio. A partir de ahí, pueden recopilar datos confidenciales o implementar malware, como ransomware.
  •     CVE-2019-1040: una vulnerabilidad de Windows NTLM permite a los atacantes reducir la seguridad incorporada para el sistema operativo Windows.

Explotar servidores de cara al público: los atacantes utilizan estas vulnerabilidades para evitar la autenticación en servidores web, servidores de correo electrónico o DNS para ejecutar comandos de forma remota en la red interna. Para los servidores web comprometidos, los atacantes pueden utilizarlos en ataques de abrevadero para atacar a futuros visitantes.

  •     CVE-2020-1350: la vulnerabilidad SigRed del servidor DNS de Windows permite a los atacantes propagarse lateralmente a través de una red.
  •     CVE-2018-6789: una vulnerabilidad del servidor de correo Exim permite la ejecución de código remoto no autenticado.
  •     CVE-2018-4939: vulnerabilidad de Adobe ColdFusion 14 que podría llevar a la ejecución de código arbitrario

Explotar servidores internos: estas vulnerabilidades se utilizan para propagarse lateralmente a través de una red y obtener acceso a servidores internos, donde los atacantes pueden robar datos valiosos.

  •     CVE-2020-0688: una vulnerabilidad de Microsoft Exchange que permite a los usuarios autenticados realizar la ejecución remota de código.
  •     CVE-2015-4852: el componente de seguridad WLS en Oracle WebLogic15 Server permite a atacantes remotos ejecutar comandos arbitrarios a través de un objeto Java16 serializado diseñado.
  •     CVE-2020-2555: existe una vulnerabilidad en el producto Oracle® Coherence de Oracle Fusion® Middleware. Esta fácilmente explotable
  •     CVE-2019-3396: existe una vulnerabilidad de inyección de plantilla del lado del servidor en el conector de widgets en los servidores de Atlassian Confluence que permite a los atacantes remotos realizar la ejecución remota de código y el recorrido de la ruta.
  •     CVE-2019-11580: los atacantes que pueden enviar solicitudes a una instancia de Atlassian® Crowd o Crowd Data Center pueden aprovechar esta vulnerabilidad para instalar complementos arbitrarios, lo que permite la ejecución remota de código. Esta vulnerabilidad se utilizó en ataques de ransomware GandCrab en el pasado.
  •     CVE-2020-10189: la vulnerabilidad de Zoho ManageEngine 18 Desktop Central permite la ejecución remota de código. Este error se utilizó en ataques para implementar puertas traseras.
  •     CVE-2019-18935: una vulnerabilidad en la interfaz de usuario de Telerik 19 para ASP.NET AJAX puede provocar la ejecución remota de código. Fue visto utilizado por un grupo de piratas informáticos llamado 'Blue Mockingbird' para instalar mineros de Monero en servidores vulnerables, pero también podría usarse para propagarse lateralmente.

Explote las estaciones de trabajo de los usuarios para la escalada de privilegios locales: cuando un atacante obtiene acceso a una estación de trabajo, su objetivo final es obtener credenciales o privilegios administrativos. Usando estas vulnerabilidades, un pirata informático puede elevar sus privilegios al SISTEMA o al acceso de administrador.

  •     CVE-2020-0601: una vulnerabilidad de suplantación de Windows CryptoAPI descubierta por la NSA permite a los atacantes falsificar certificados de firma de código para hacer que los ejecutables maliciosos parezcan estar firmados por una empresa de confianza legítima.
  •     CVE-2019-0803: existe una vulnerabilidad de elevación de privilegios en Windows® cuando el componente Win32k no puede manejar correctamente los objetos en la memoria.

Explotar dispositivos de red: este último grupo de vulnerabilidades permite a los atacantes monitorear y modificar el tráfico de red a medida que fluye por el dispositivo.

  •     CVE-2017-6327: Symantec 22 Messaging Gateway puede encontrar un problema de ejecución remota de código.
  •     CVE-2020-3118: una vulnerabilidad de Cisco 'CDPwn' en la implementación del Protocolo de descubrimiento de Cisco para el software Cisco IOS 23 XR podría permitir la ejecución remota de código.
  •     CVE-2020-8515 - Los dispositivos DrayTek Vigor 24 permiten la ejecución remota de código como root (sin autenticación) a través de metacaracteres de shell

Fuentes:

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.