NSA发布中国黑客最常用的TOP25漏洞
星期三, 十月 21, 2020
美国国家安全局(NSA)今天发布了一份报告,详细介绍了据称是中国黑客组织扫描、定位和利用最多的25个漏洞。
所有25个安全漏洞都是众所周知的,并且可以从产品供应商处获得补丁程序。
NSA在报告中指出,许多漏洞的利用程序都可公开获取,有些不仅被中国黑客利用,还被收入勒索软件帮派、恶意软件团体以及其他国家(例如俄罗斯和伊朗)黑客组织的武器库。
NSA声称:“攻击者可以利用报告中列出的大多数漏洞,利用存在这些漏洞的联网产品作为跳板和网关,访问企业内部网络。”
以下是NSA要求政府部门和私营企业尽快修复的25个漏洞清单:
1)CVE-2019-11510-在Pulse Secure VPN服务器上,未经身份验证的远程攻击者可以发送特制URI来执行任意文件读取漏洞,这可能会导致密钥或密码泄露。
2)CVE-2020-5902-在F5 BIG-IP代理和负载平衡器上,流量管理用户界面(TMUI)(也称为配置实用程序)容易受到远程代码执行(RCE)漏洞的攻击,该漏洞可能允许远程执行攻击者接管整个BIG-IP设备。
3)CVE-2019-19781 -Citrix应用程序交付控制器(ADC)和网关系统容易受到目录遍历漏洞的影响,这可能导致远程执行代码,而攻击者不必拥有该设备的有效凭据。可以将这两个弱点关联起来以接管Citrix系统。
4 、 5 、6)CVE-2020-8193、CVE-2020-8195、CVE-2020-8196-另一组Citrix ADC和网关漏洞。这些漏洞也会影响SDWAN WAN-OP系统。这三个漏洞允许未经身份验证的用户访问某些URL端点,并向低权限用户泄露信息。
7)CVE-2019-0708(aka BlueKeep)-Windows操作系统上的远程桌面服务中存在的一个远程执行代码漏洞。
8)CVE-2020-15505-MobileIron移动设备管理(MDM)软件中的远程执行代码漏洞,允许远程攻击者执行任意代码并接管远程公司服务器。
9)CVE-2020-1350(又名SIGRed)-Windows域名系统服务器无法正确处理请求时,存在远程执行代码漏洞。
10)CVE-2020-1472(又名Netlogon)-攻击者使用Netlogon远程协议(MS-NRPC)与域控制器的易受攻击的Netlogon安全通道建立连接时,存在提权漏洞。
11)CVE-2019-1040-当中间人攻击者成功绕过NTLM MIC(消息完整性检查)保护时,能够利用的一个微软Windows的篡改漏洞。
12)CVE-2018-6789-将手工消息发送到Exim邮件传输代理可能会导致缓冲区溢出。这可用于远程执行代码并接管电子邮件服务器。
13)CVE-2020-0688-当Microsoft Exchange软件无法正确处理内存中的对象时,该软件中存在一个远程执行代码漏洞。
14)CVE-2018-4939-某些Adobe ColdFusion版本存在可利用的不可信数据反序列化漏洞。成功的利用可能导致任意代码执行。
15)CVE-2015-4852-Oracle WebLogic 15 Server中的WLS安全组件允许远程攻击者通过精心制作的序列化Java对象执行任意命令。
16)CVE-2020-2555-Oracle Fusion中间件的Coherence产品中存在一个漏洞。这个容易利用的漏洞允许未经身份验证的攻击者通过T3进行网络访问,从而危害Oracle Coherence系统。
17)CVE-2019-3396-Atlassian Confluence 17 Server中的Widget Connector宏允许远程攻击者通过服务器端模板注入在Confluence Server或数据中心实例上实施路径遍历和远程代码执行。
18)CVE-2019-11580-能向Atlassian Crowd或Crowd Data Center实例发送请求的攻击者可以利用此漏洞安装任意插件,从而允许远程执行代码。
19)CVE-2020-10189-由于不信任数据的反序列化,Zoho ManageEngine Desktop Central允许远程执行代码。
20)CVE-2019-18935-ASP.NET AJAX的Progress Telerik UI包含一个.NET反序列化漏洞。漏洞利用可能导致远程执行代码。
21)CVE-2020-0601 (aka CurveBall)-Windows CryptoAPI(Crypt32.dll)验证椭圆曲线密码(ECC)证书的方式中存在一个欺骗漏洞。攻击者可以通过使用欺骗性的代码签名证书对恶意可执行文件进行签名来利用此漏洞,从而使该文件冒充来自受信任的合法来源。
22)CVE-2019-0803-Windows中存在Win32k组件无法正确处理内存中对象的特权提升漏洞。
23)CVE-2017-6327-Symantec Messaging Gateway可能会遇到远程执行代码的问题。
24)CVE-2020-3118-Cisco IOS XR软件的Cisco发现协议实施中的漏洞,可允许未经身份验证的相邻攻击者执行任意代码,或导致设备重启。
25)CVE-2020-8515-DrayTek Vigor设备允许通过shell元字符以root用户身份(无需身份验证)远程执行代码。
参考资料
NSA安全报告:中国黑客最常利用的漏洞
https://media.defense.gov/2020/Oct/20/2002519884/-1/-1/0/CSA_CHINESE_EXPLOIT_VULNERABILITIES_UOO179811.PDF
相关阅读