La Agencia de Seguridad Nacional de Estados Unidos (NSA) advierte que los piratas informáticos patrocinados por el estado chino explotan 25 vulnerabilidades diferentes en ataques contra organizaciones e intereses de Estados Unidos.

En un aviso emitido hoy, la NSA tiene conocimiento de los ataques dirigidos de piratas informáticos patrocinados por el estado chino contra los Sistemas de Seguridad Nacional (NSS), la Base Industrial de Defensa de los Estados Unidos (DIB) y las redes de información del Departamento de Defensa (DoD).

Como parte de estos ataques, la NSA ha visto explotar veinticinco vulnerabilidades reveladas públicamente para obtener acceso a las redes, implementar aplicaciones móviles maliciosas y propagarse lateralmente a través de un sistema mientras los atacantes roban datos confidenciales.

La NSA aconseja a todas las organizaciones que apliquen parches de inmediato a los dispositivos vulnerables para protegerse contra ciberataques que conducen al robo de datos, fraude bancario y ataques de ransomware.

“Escuchamos alto y claro que puede ser difícil priorizar los esfuerzos de parcheo y mitigación”, dijo la directora de seguridad cibernética de la NSA, Anne Neuberger. «Esperamos que al destacar las vulnerabilidades que China está utilizando activamente para comprometer los sistemas, los profesionales de la ciberseguridad obtengan información procesable para priorizar los esfuerzos y asegurar sus sistemas».

Vulnerabilidades utilizadas en diferentes fases de ataque

La NSA ha categorizado las vulnerabilidades en diferentes grupos para ilustrar cómo se utilizan en los ciberataques.

Explotar el acceso remoto seguro: para obtener acceso a las redes, los actores de amenazas chinos utilizan siete vulnerabilidades diferentes, muchas de las cuales también proporcionan credenciales que se pueden usar para expandirse más en la red.

  • CVE-2019-11510 : vulnerabilidades de Pulse Secure VPN que permiten que un atacante no autenticado obtenga acceso a las credenciales de VPN.
  • CVE-2020-5902 – Una vulnerabilidad de ejecución remota de código del balanceador de carga / proxy F5 BIG-IP® 8.
  • CVE-2019-19781 : una vulnerabilidad de cruce de directorios de Citrix Application Delivery Controller (ADC) y Gateway, que puede llevar a la ejecución remota de código sin credenciales.
  • CVE-2020-8193 : la vulnerabilidad Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP permite el acceso no autenticado a ciertos puntos finales de URL y la divulgación de información a usuarios con pocos privilegios
  • CVE-2020-8195 : la vulnerabilidad Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP permite el acceso no autenticado a ciertos puntos finales de URL y la divulgación de información a usuarios con pocos privilegios
  • CVE-2020-8196 : la vulnerabilidad Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP permite el acceso no autenticado a ciertos puntos finales de URL y la divulgación de información a usuarios con pocos privilegios
  • CVE-2019-0708 : la vulnerabilidad del servicio de escritorio remoto de Windows BlueKeep permite a los usuarios no autenticados realizar la ejecución remota de código.

Explotar la administración de dispositivos móviles (MDM) : al comprometer los servidores MDM, los actores de amenazas pueden expulsar aplicaciones móviles maliciosas o cambiar configuraciones de dispositivos que envían tráfico a través de servidores proxy o hosts controlados por atacantes.

  • CVE-2020-15505 : una vulnerabilidad de ejecución remota de código en la administración de dispositivos móviles (MDM) MobileIron 13

Aproveche Active Directory para movimiento lateral y acceso a credenciales: 

  • CVE-2020-1472 : la vulnerabilidad crítica de elevación de privilegios de Windows ZeroLogon Netlogon 10/10 permite a los actores de amenazas obtener rápidamente acceso a las credenciales de administrador de dominio en un controlador de dominio. A partir de ahí, pueden recopilar datos confidenciales o implementar malware, como ransomware.
  • CVE-2019-1040 : una vulnerabilidad de Windows NTLM permite a los atacantes reducir la seguridad incorporada para el sistema operativo Windows.

Explotar servidores públicos: los atacantes utilizan estas vulnerabilidades para eludir la autenticación en servidores web, servidores de correo electrónico o DNS para ejecutar comandos de forma remota en la red interna. Para los servidores web comprometidos, los atacantes pueden utilizarlos en ataques de abrevadero para atacar a futuros visitantes.

  • CVE-2020-1350 : la vulnerabilidad SigRed del servidor DNS de Windows permite a los atacantes propagarse lateralmente a través de una red.
  • CVE-2018-6789 : una vulnerabilidad del servidor de correo Exim permite la ejecución de código remoto no autenticado.
  • CVE-2018-4939 : vulnerabilidad de Adobe ColdFusion 14 que podría llevar a la ejecución de código arbitrario

Explotar servidores internos:  estas vulnerabilidades se utilizan para propagarse lateralmente a través de una red y obtener acceso a servidores internos, donde los atacantes pueden robar datos valiosos.

  • CVE-2020-0688 : una vulnerabilidad de Microsoft Exchange que permite a los usuarios autenticados realizar la ejecución remota de código.
  • CVE-2015-4852 : el componente de seguridad WLS en Oracle WebLogic15 Server permite a atacantes remotos ejecutar comandos arbitrarios a través de un objeto Java16 serializado diseñado.
  • CVE-2020-2555 : existe una vulnerabilidad en el producto Oracle® Coherence de Oracle Fusion® Middleware. Esta fácilmente explotable 
  • CVE-2019-3396 : existe una vulnerabilidad de inyección de plantilla del lado del servidor en el conector de widgets en los servidores de Atlassian Confluence que permite a los atacantes remotos realizar la ejecución remota de código y el recorrido de la ruta.
  • CVE-2019-11580 : los atacantes que pueden enviar solicitudes a una instancia de Atlassian® Crowd o Crowd Data Center pueden aprovechar esta vulnerabilidad para instalar complementos arbitrarios, lo que permite la ejecución remota de código. Esta vulnerabilidad se utilizó en ataques de ransomware GandCrab en el pasado.
  • CVE-2020-10189 : la vulnerabilidad de Zoho ManageEngine 18 Desktop Central permite la ejecución remota de código. Este error se utilizó en ataques para implementar puertas traseras.
  • CVE-2019-18935 : una vulnerabilidad en la interfaz de usuario de Telerik 19 para ASP.NET AJAX puede provocar la ejecución remota de código. Fue visto utilizado por un grupo de hackers llamado ‘Blue Mockingbird’ para instalar mineros de Monero en servidores vulnerables, pero también podría usarse para propagarse lateralmente.

Explote las estaciones de trabajo de los usuarios para la escalada de privilegios locales: cuando un atacante obtiene acceso a una estación de trabajo, su objetivo final es obtener credenciales o privilegios administrativos. Usando estas vulnerabilidades, un pirata informático puede elevar sus privilegios al SISTEMA o al acceso de administrador.

  • CVE-2020-0601 : una vulnerabilidad de suplantación de Windows CryptoAPI descubierta por la NSA permite a los atacantes falsificar certificados de firma de código para hacer que los ejecutables maliciosos parezcan estar firmados por una empresa de confianza legítima.
  • CVE-2019-0803 : existe una vulnerabilidad de elevación de privilegios en Windows® cuando el componente Win32k no puede manejar correctamente los objetos en la memoria. 

Explotar dispositivos de red: este último grupo de vulnerabilidades permite a los atacantes monitorear y modificar el tráfico de red a medida que fluye por el dispositivo. 

  • CVE-2017-6327 : Symantec 22 Messaging Gateway puede encontrar un problema de ejecución remota de código.
  • CVE-2020-3118 : una vulnerabilidad ‘CDPwn’ de Cisco en la implementación del Protocolo de descubrimiento de Cisco para el software Cisco IOS 23 XR podría permitir la ejecución remota de código.
  • CVE-2020-8515 – Los dispositivos DrayTek Vigor 24 permiten la ejecución remota de código como root (sin autenticación) a través de metacaracteres de shell

Como se ha visto a los piratas informáticos patrocinados por el estado chino utilizando una combinación de estas vulnerabilidades, se recomienda encarecidamente que todos los administradores las parcheen lo antes posible.

Fuente y redacción: bleepingcumputer.com

Compartir