Alerta da NSA: Atores patrocinados pelo Estado chinês exploram vulnerabilidades conhecidas

Alerta da NSA: Atores patrocinados pelo Estado chinês exploram vulnerabilidades conhecidas. NSA divulgou um comunicado de cibersegurança sobre atividades cibernéticas maliciosas patrocinadas pelo estado chinês.

Em 20 de outubro de 2020, a Agência de Segurança Nacional dos Estados Unidos (NSA) divulgou um comunicado de cibersegurança sobre atividades cibernéticas maliciosas patrocinadas pelo estado chinês. O alerta da NSA forneceu uma lista de 25 vulnerabilidades publicamente conhecidas que são recentemente aproveitadas por ciberatores para várias operações de hackers.

Uma vez que essas técnicas incluem a exploração de vulnerabilidades publicamente conhecidas, é fundamental que os defensores da rede priorizem o patch e os esforços de mitigação”, disse o consultor da NSA. Também recomendou que “os proprietários de sistemas críticos considerem essas ações uma prioridade, a fim de mitigar a perda de informações confidenciais que podem impactar as políticas, estratégias, planos e vantagens competitivas dos EUA”.

Segunda a NSA, uma das maiores ameaças ao U.S. National Security Systems (NSS), ao  U.S. Defense Industrial Base (DIB) e Department of Defense (DoD) são atividades cibernéticas maliciosas patrocinadas pelo estado chinês. Essas redes muitas vezes passam por uma gama completa de táticas e técnicas usadas por ciberatores patrocinados pelo estado chinês para explorar o computador redes de interesse que contêm informações confidenciais de propriedade intelectual, econômica, política e militar. Como estas técnicas incluem a exploração de vulnerabilidades publicamente conhecidas, é fundamental que os defensores da rede priorizem o patch e esforços de mitigação não somente no âmbito governamental, mas também no âmbito privado.

O mesmo processo para planejar a exploração de uma rede de computadores por qualquer ator cibernético sofisticado é usado por Hackers patrocinados pelo estado chinês e outros. Eles geralmente identificam primeiro um alvo, reúnem informações técnicas sobre o alvo, identificam qualquer vulnerabilidades associadas ao alvo, desenvolver ou reutilizar uma exploração para essas  vulnerabilidades e, em seguida, lançar seu operação de exploração.

O comunicado fornece Vulnerabilidades e Exposições Comuns (CVEs – Common Vulnerabilities and Exposures) conhecidas por serem recentemente aproveitadas, ou escaneadas, por Atores cibernéticos patrocinados pelo estado chinês para permitir operações de hacking bem-sucedidas contra uma infinidade de redes.

A maioria das vulnerabilidades listadas abaixo podem ser exploradas para obter acesso inicial às redes das vítimas usando produtos que são diretamente acessível a partir da Internet e atuam como gateways para redes internas. A maioria dos produtos são para acesso remoto (T1133) 1 ou para serviços da web externos (T1190), e deve ser selecionado para correção imediata. Enquanto
algumas vulnerabilidades têm atenuações adicionais específicas, as seguintes atenuações geralmente se aplicam:

  • Manter os sistemas e produtos atualizados e corrigidos o mais rápido possível após o lançamento dos patches.
  • Esperar que os dados sejam roubados ou modificados (incluindo credenciais, contas e software) antes que o dispositivo seja corrigido não será aliviado por patches, tornando as alterações de senha e revisões de contas uma boa prática.
  • Desabilite os recursos de gerenciamento externos e configure uma rede de gerenciamento fora de banda.
  • Bloquear protocolos obsoletos ou não usados ​​na extremidade da rede e desabilitá-los nas configurações do dispositivo.
  • Isolar os serviços voltados para a Internet em uma Zona Desmilitarizada (DMZ) de rede para reduzir a exposição do ambiente interno rede.
  • Habilite um log robusto de serviços voltados para a Internet e monitore os registros em busca de sinais de comprometimento.

A NSA também anunciou atores Sandworm explorando a Exim MTA Vulnerability e alertas semelhantes foram publicados pela Cybersecurity and Infrastructure Security Agency (CISA) no ano passado. A CISA também emitiu um comunicado  notificando sobre vulnerabilidades que foram exploradas para recuperar dados confidenciais, como propriedade intelectual, informações econômicas, políticas e militares. 

Aqui está uma lista de 25 vulnerabilidades (CVEs) publicadas pela NSA, junto com os produtos afetados:

CVE-ID (s) Produtos afetados
CVE-2020-5902 Dispositivos Big-IP
CVE-2019-19781 Citrix Application Delivery Controller
Citrix Gateway
Citrix SDWAN WANOP
CVE-2019-11510 Pulse Connect Secure
CVE-2020-8193
CVE-2020-8195
CVE-2020-8196
Citrix ADC e Citrix Gateway versões anteriores a 13.0-58.30, 12.1-57.18, 12.0-63.21, 11.1-64.14 e 10.5-70.18
Citrix SDWAN WAN-OP versões anteriores a 11.1.1a, 11.0.3d e 10.2.7
CVE-2019-0708 Vários produtos Microsoft Windows
CVE-2020-15505 MobileIron Core & Connector
CVE-2020-1350 Vários produtos Microsoft Windows
CVE-2020-1472 Vários produtos Microsoft Windows
CVE-2019-1040 Vários produtos Microsoft Windows
CVE-2018-6789 Exim antes de 4.90.1
CVE-2020-0688 Multiple Microsoft Exchange Server
CVE-2018-4939 Adobe ColdFusion
CVE-2015-4852 Oracle WebLogic Server 10.3.6.0, 12.1.2.0, 12.1.3.0 e 12.2.1.0
CVE-2020-2555 Produto Oracle Coherence do Oracle Fusion Middleware Middleware; versões 3.7.1.0, 12.1.3.0.0, 12.2.1.3.0 e 12.2.1.4.0.
CVE-2019-3396 Atlassian Confluence Server antes da versão 6.6.12, da versão 6.7.0 antes da 6.12.3, da versão 6.13.0 antes da 6.13.3) e da versão 6.14.0 antes da 6.14.2
CVE-2019-11580 Atlassian Crowd e Crowd Data Center
CVE-2020-10189 Zoho ManageEngine Desktop Central antes de 10.0.474
CVE-2019-18935 Progress Telerik UI para ASP.NET AJAX até 2019.3.1023
CVE-2020-0601 Vários produtos Microsoft Windows
CVE-2019-0803 Vários produtos Microsoft Windows
CVE-2017-6327 Symantec Messaging Gateway antes de 10.6.3-267
CVE-2020-3118 Cisco IOS XR, NCS
CVE-2020-8515 Dispositivos DrayTek Vigor2960 1.3.1_Beta, Vigor3900 1.4.4_Beta e Vigor300B 1.3.3_Beta, 1.4.2.1_Beta e 1.4.4_Beta
Fonte: Qualys & NSA

Veja também:

Sobre mindsecblog 2385 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Sistemas do Superior Tribunal de Justiça (STJ) foram alvo de hackers r
  2. Pfizer expôs dados de usuários de medicamentos

Deixe sua opinião!