Alerta da NSA: Atores patrocinados pelo Estado chinês exploram vulnerabilidades conhecidas

27/10/2020 mindsecblog Notícias 2

Alerta da NSA: Atores patrocinados pelo Estado chinês exploram vulnerabilidades conhecidas. NSA divulgou um comunicado de cibersegurança sobre atividades cibernéticas maliciosas patrocinadas pelo estado chinês.

Em 20 de outubro de 2020, a Agência de Segurança Nacional dos Estados Unidos (NSA) divulgou um comunicado de cibersegurança sobre atividades cibernéticas maliciosas patrocinadas pelo estado chinês. O alerta da NSA forneceu uma lista de 25 vulnerabilidades publicamente conhecidas que são recentemente aproveitadas por ciberatores para várias operações de hackers.

“Uma vez que essas técnicas incluem a exploração de vulnerabilidades publicamente conhecidas, é fundamental que os defensores da rede priorizem o patch e os esforços de mitigação”, disse o consultor da NSA. Também recomendou que “os proprietários de sistemas críticos considerem essas ações uma prioridade, a fim de mitigar a perda de informações confidenciais que podem impactar as políticas, estratégias, planos e vantagens competitivas dos EUA”.

Segunda a NSA, uma das maiores ameaças ao U.S. National Security Systems (NSS), ao U.S. Defense Industrial Base (DIB) e Department of Defense (DoD) são atividades cibernéticas maliciosas patrocinadas pelo estado chinês. Essas redes muitas vezes passam por uma gama completa de táticas e técnicas usadas por ciberatores patrocinados pelo estado chinês para explorar o computador redes de interesse que contêm informações confidenciais de propriedade intelectual, econômica, política e militar. Como estas técnicas incluem a exploração de vulnerabilidades publicamente conhecidas, é fundamental que os defensores da rede priorizem o patch e esforços de mitigação não somente no âmbito governamental, mas também no âmbito privado.

O mesmo processo para planejar a exploração de uma rede de computadores por qualquer ator cibernético sofisticado é usado por Hackers patrocinados pelo estado chinês e outros. Eles geralmente identificam primeiro um alvo, reúnem informações técnicas sobre o alvo, identificam qualquer vulnerabilidades associadas ao alvo, desenvolver ou reutilizar uma exploração para essas vulnerabilidades e, em seguida, lançar seu operação de exploração.

O comunicado fornece Vulnerabilidades e Exposições Comuns (CVEs – Common Vulnerabilities and Exposures) conhecidas por serem recentemente aproveitadas, ou escaneadas, por Atores cibernéticos patrocinados pelo estado chinês para permitir operações de hacking bem-sucedidas contra uma infinidade de redes.

A maioria das vulnerabilidades listadas abaixo podem ser exploradas para obter acesso inicial às redes das vítimas usando produtos que são diretamente acessível a partir da Internet e atuam como gateways para redes internas. A maioria dos produtos são para acesso remoto (T1133) 1 ou para serviços da web externos (T1190), e deve ser selecionado para correção imediata. Enquanto
algumas vulnerabilidades têm atenuações adicionais específicas, as seguintes atenuações geralmente se aplicam:

Manter os sistemas e produtos atualizados e corrigidos o mais rápido possível após o lançamento dos patches.
Esperar que os dados sejam roubados ou modificados (incluindo credenciais, contas e software) antes que o dispositivo seja corrigido não será aliviado por patches, tornando as alterações de senha e revisões de contas uma boa prática.
Desabilite os recursos de gerenciamento externos e configure uma rede de gerenciamento fora de banda.
Bloquear protocolos obsoletos ou não usados na extremidade da rede e desabilitá-los nas configurações do dispositivo.
Isolar os serviços voltados para a Internet em uma Zona Desmilitarizada (DMZ) de rede para reduzir a exposição do ambiente interno rede.
Habilite um log robusto de serviços voltados para a Internet e monitore os registros em busca de sinais de comprometimento.

A NSA também anunciou atores Sandworm explorando a Exim MTA Vulnerability e alertas semelhantes foram publicados pela Cybersecurity and Infrastructure Security Agency (CISA) no ano passado. A CISA também emitiu um comunicado notificando sobre vulnerabilidades que foram exploradas para recuperar dados confidenciais, como propriedade intelectual, informações econômicas, políticas e militares.

Aqui está uma lista de 25 vulnerabilidades (CVEs) publicadas pela NSA, junto com os produtos afetados:

CVE-ID (s)	Produtos afetados
CVE-2020-5902	Dispositivos Big-IP
CVE-2019-19781	Citrix Application Delivery Controller Citrix Gateway Citrix SDWAN WANOP
CVE-2019-11510	Pulse Connect Secure
CVE-2020-8193 CVE-2020-8195 CVE-2020-8196	Citrix ADC e Citrix Gateway versões anteriores a 13.0-58.30, 12.1-57.18, 12.0-63.21, 11.1-64.14 e 10.5-70.18 Citrix SDWAN WAN-OP versões anteriores a 11.1.1a, 11.0.3d e 10.2.7
CVE-2019-0708	Vários produtos Microsoft Windows
CVE-2020-15505	MobileIron Core & Connector
CVE-2020-1350	Vários produtos Microsoft Windows
CVE-2020-1472	Vários produtos Microsoft Windows
CVE-2019-1040	Vários produtos Microsoft Windows
CVE-2018-6789	Exim antes de 4.90.1
CVE-2020-0688	Multiple Microsoft Exchange Server
CVE-2018-4939	Adobe ColdFusion
CVE-2015-4852	Oracle WebLogic Server 10.3.6.0, 12.1.2.0, 12.1.3.0 e 12.2.1.0
CVE-2020-2555	Produto Oracle Coherence do Oracle Fusion Middleware Middleware; versões 3.7.1.0, 12.1.3.0.0, 12.2.1.3.0 e 12.2.1.4.0.
CVE-2019-3396	Atlassian Confluence Server antes da versão 6.6.12, da versão 6.7.0 antes da 6.12.3, da versão 6.13.0 antes da 6.13.3) e da versão 6.14.0 antes da 6.14.2
CVE-2019-11580	Atlassian Crowd e Crowd Data Center
CVE-2020-10189	Zoho ManageEngine Desktop Central antes de 10.0.474
CVE-2019-18935	Progress Telerik UI para ASP.NET AJAX até 2019.3.1023
CVE-2020-0601	Vários produtos Microsoft Windows
CVE-2019-0803	Vários produtos Microsoft Windows
CVE-2017-6327	Symantec Messaging Gateway antes de 10.6.3-267
CVE-2020-3118	Cisco IOS XR, NCS
CVE-2020-8515	Dispositivos DrayTek Vigor2960 1.3.1_Beta, Vigor3900 1.4.4_Beta e Vigor300B 1.3.3_Beta, 1.4.2.1_Beta e 1.4.4_Beta