美国网络安全机构中钢协通知:外国演员继续威胁目标补丁
中国钢铁工业协会警告说,外国演员来自中国和伊朗威胁通常在政府机构和美国针对补丁的网络。
背景
9月14日,9月15日网络安全基础设施安全机构(CISA)发表两个单独的警报详细恶意活动从外国演员的威胁:
- aa20 - 258 a:中国国家Security-Affiliated网络威胁演员活动
- aa20 - 259 a:伊朗威胁演员利用VPN漏洞
根据中钢协,这些外国威胁演员一直利用大量的补丁在各种网络设备和邮件服务器软件作为违反组织共同努力的一部分。中钢协已观察到的这些袭击联邦政府机构和其他基于网络在美国。
下表包含漏洞的列表中提到的两个警报(除了cve - 2019 - 11539,只出现在aa20 - 259 a):
CVE | 产品 | CVSSv3 | 站得住脚的冲程体积* | 披露 |
---|---|---|---|---|
cve - 2019 - 11510 | 脉冲连接安全 | 10.0 | 10 | 2019年4月 |
cve - 2019 - 11539 | 脉冲连接安全 | 7.2 | 9.6 | 2019年4月 |
cve - 2019 - 19781 | Citrix应用程序交付控制器和网关 | 9.8 | 9.9 | 2019年12月 |
cve - 2020 - 0688 | 微软交换服务器 | 8.8 | 9.8 | 2020年2月 |
cve - 2020 - 5902 | F5几个 | 9.8 | 9.9 | 2020年7月 |
*请注意站得住脚的冲程体积分数计算。这篇文章发表在9月17日,反映了当时冲程体积。
这些警报的漏洞是披露2019年4月至2020年7月。这些演员威胁银行的事实组织缓慢在这些设备上应用补丁。
分析
cve cve - 2019 - 11510 - 2019 - 11539:脉冲连接安全漏洞
中国钢铁工业协会报道,外国演员在中国和伊朗威胁利用缺陷脉冲连接安全,一个流行的虚拟专用网(VPN)商业解决方案。最初这些漏洞修补早在2019年4月。然而,他们开始后获得更多的关注人员橙色蔡和DEVCORE咩变化研究小组公布他们的发现对这些漏洞在黑帽和防御会议于2019年8月。一个概念验证(PoC)发布了cve - 2019 - 11510pre-authentication任意文件披露漏洞,从脉冲连接是用于读取敏感信息安全设备,包括配置设置。PoC的发布后不久,报告发现攻击者已经开始利用这一缺陷在野外。
伊朗威胁演员中引用aa20 - 259 a还利用cve - 2019 - 11539, post-authentication命令注入漏洞在脉冲连接安全管理网络接口,可以让攻击者注入和在设备上执行命令。因为cve - 2019 - 11510是一个pre-authentication脆弱性用来收集管理凭据,攻击者是拴在一起cve - 2019 - 11539获得Secure Shell (SSH)外壳使用root特权脆弱的设备上。研究人员Alyssa Herrera,贾斯汀瓦格纳和米密尔发表了一篇博文,显示这个过程是如何工作的。
cve - 2019 - 11510已成为一个流行的工具攻击者的工具包。2020年1月,有消息传出,漏洞被用作的一部分Sodinokibi ransomware攻击。中钢协还包括这个漏洞的十大经常利用的漏洞提醒5月的两个经常利用的漏洞威胁外国演员在2020年。
cve - 2019 - 19781: Citrix目录遍历的脆弱性
2019年12月,Citrix发表一个顾问目录遍历的脆弱性在其应用程序交付控制器(ADC)和网关产品。当时,他们不提供补丁缺陷。
几周后披露这个漏洞,研究人员开始在野外观察试图利用这一缺陷。一些研究人员分享了一些技术信息在博客文章详细介绍了该缺陷,最终导致了利用脚本的出版。不久之后,攻击者开始积极利用这个安全漏洞集体而补丁仍然不得而知,直到一个月后首次披露。
就像cve - 2019 - 11510, cve - 2019 - 19781被中钢协的还包括十大经常利用的漏洞警报。
cve - 2020 - 0688:微软Exchange服务器静态关键缺陷
2020年2月,微软发布一个顾问对于一个严重的漏洞在Microsoft Exchange Server这是最初贴上一个内存损坏缺陷的标签。脆弱性,确认为cve - 2020 - 0688,是一个静态的关键弱点Exchange服务器的一个组成部分称为Microsoft Exchange控制面板(ECP)。
详细分解的缺陷在Zero Day Initiative博客上发表澄清,开发要求攻击者获得有效的有针对性的Exchange服务器的用户凭证。这个需求被认为是“不是一个很大的障碍”安全研究员凯文•博蒙特指出开源工具的可用性可用于从LinkedIn页面获取员工的名字,然后可以利用的一部分吗凭据填料攻击。
当时,博蒙特还指出,组织“平均在后面的几年而不是几个月”修补他们的Microsoft Exchange服务器。显然已经被证明是有价值的对外国演员威胁利用这个漏洞攻击的一部分。
cve - 2020 - 5902: F5几个命令执行未经身份验证的脆弱性
在2020年6月底,F5发布一个顾问cve - 2020 - 5902,关键命令执行漏洞几个家族的产品。在几个配置实用程序存在安全漏洞,称为交通管理用户界面(TMUI)。利用缺陷,TMUI需要通过几个公开管理端口或自我IPs。
Ben郭学刚金佰利公司(kimberly - clark)反威胁管理高级经理说几个设备的默认配置是脆弱的cve - 2020 - 5902,因为自我IPs的使用。高级安全工程师F5确认在推特11.5.2,虽然几个版本和之前使用自我IPs在默认情况下,这个配置11.5.3后来不再适用于几个版本。
当时,研究员内特Warfield发现超过8000公共可访问主机与管理端口暴露。披露后不久,报告出现,威胁演员们积极利用cve - 2020 - 5902。这个漏洞已经被证明是有价值的商品对于网络罪犯和外国演员的威胁。
补丁是网络罪犯的恩惠和威胁演员
的十大经常利用漏洞警告突出一个重点:威胁演员不需要花资本获取或开发零日漏洞,或燃烧的已经,当补丁保持一致的组织面临的挑战。更是印证了这一挑战容易获得公开PoC和利用脚本,攻击者可以按原样重新以违反组织。
2020年6月,澳大利亚网络安全中心发表了一份报告,题为“复制粘贴妥协。”细节齐心协力的外国演员针对政府和组织的威胁复制粘贴PoC并利用脚本代码。中钢协都警告强调同样的挑战:易接近的PoC和利用脚本,和补丁的存在,使它更容易为网络犯罪和外国演员威胁违反政府和组织在世界各地。
概念验证
中钢协警报中标识的所有漏洞有可用的公共PoC代码和开发脚本后不久他们公开披露。对于许多的cf,多个poc和利用脚本已经出版。我们有共同的一个小子集的这些在下表中:
CVE | 源URL |
---|---|
cve - 2019 - 11510 | GitHub |
cve - 2019 - 11510 | GitHub |
cve - 2019 - 11510 | GitHub |
cve - 2019 - 11539 | GitHub |
cve - 2019 - 19781 | GitHub |
cve - 2019 - 19781 | GitHub |
cve - 2019 - 19781 | GitHub |
cve - 2020 - 0688 | GitHub |
cve - 2020 - 0688 | GitHub |
cve - 2020 - 0688 | GitHub |
cve - 2020 - 5902 | GitHub |
cve - 2020 - 5902 | GitHub |
cve - 2020 - 5902 | GitHub |
解决方案
除了cve - 2019 - 19781,补丁当时对这些漏洞报告发表。的cve - 2019 - 19781,补丁并不可用,直到一个月后最初的咨询。
请参考下面的个人报告,以确定哪些补丁申请你的特定的设备。
CVE | 补丁信息 |
---|---|
cve - 2019 - 11510 | SA44101 - 2019 - 04: "咨询:多个漏洞解决脉冲连接安全/脉冲政策安全9.0 rx |
cve - 2019 - 11539 | SA44101 - 2019 - 04: "咨询:多个漏洞解决脉冲连接安全/脉冲政策安全9.0 rx |
cve - 2019 - 19781 | 漏洞在Citrix应用程序交付控制器、Citrix网关,Citrix SD-WAN WANOP设备 |
cve - 2020 - 0688 | Microsoft Exchange验证关键远程代码执行漏洞 |
cve - 2020 - 5902 | K52145254: TMUI远端控制设备漏洞cve - 2020 - 5902 |
确定影响系统
站得住脚的插件的列表来确定这些漏洞可以发现如下:
获得更多的信息
- 中国钢铁工业协会提醒aa20 - 258 a
- 中国钢铁工业协会提醒aa20 - 259 a
- 中钢协十大经常利用的漏洞
- 站得住脚的博客cve - 2019 - 11510和cve - 2019 - 11539
- 站得住脚的博客cve - 2019 - 11510在野外利用
- 站得住脚的博客cve - 2019 - 11510用于Ransomware攻击
- 站得住脚的博客cve - 2019 - 19781
- 站得住脚的博客cve - 2019 - 19781利用脚本
- 站得住脚的博客cve - 2019 - 19781在野外利用
- 站得住脚的博客cve - 2020 - 0688
- 站得住脚的博客cve - 2020 - 5902
- 站得住脚的博客复制粘贴妥协
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。
得到一个天的免费试用站得住脚的。io脆弱性管理。