Estas son las vulnerabilidades más explotadas por los hackers chinos desde el 2020
La NSA, la CISA y el FBI revelaron hoy las principales vulnerabilidades de seguridad que más explotan los hackers respaldados por la República Popular China (RPC). Estas vulnerabilidades están siendo usadas para atacar las redes gubernamentales y de infraestructura crítica.
Las tres agencias federales dijeron en un aviso conjunto que los hackers patrocinados por China están apuntando a redes y compañías tecnológicas estadounidenses y aliadas para obtener acceso a redes sensibles y robar propiedad intelectual.
“La NSA, la CISA y el FBI continúan evaluando las actividades cibernéticas patrocinadas por el estado de la República Popular China. Esta representa una de las amenazas más grandes y dinámicas para el gobierno y las redes civiles de Estados Unidos.”
“Este aviso conjunto se basa en informes anteriores de la NSA, la CISA y el FBI para informar al gobierno federal y estatal, local, tribal y territorial (SLTT), infraestructura crítica, incluido el Sector de Base Industrial de Defensa, y organizaciones del sector privado sobre tendencias notables y tácticas persistentes, técnicas y procedimientos (TTP)”.
El aviso también incluye mitigaciones recomendadas para cada una de las vulnerabilidades de seguridad más explotadas por los atacantes chinos. También incluye métodos de detección y tecnologías vulnerables para ayudar a los defensores a detectar y bloquear los intentos de ataque entrantes.
Vulnerabilidades más explotadas
Las siguientes vulnerabilidades de seguridad han sido las más explotadas por los hackers estatales respaldados por China desde 2020, según la NSA, la CISA y el FBI.
| Producto afectado | CVE | Tipo de vulnerabilidad |
| Apache Log4j | CVE-2021-44228 | Ejecución remota de código |
| Pulse Connect Secure | CVE-2019-11510 | Lectura de archivos arbitrarios |
| GitLab CE/EE | CVE-2021-22205 | Ejecución remota de código |
| Atlassian | CVE-2022-26134 | Ejecución remota de código |
| Microsoft Exchange | CVE-2021-26855 | Ejecución remota de código |
| F5 Big-IP | CVE-2020-5902 | Ejecución remota de código |
| VMware vCenter Server | CVE-2021-22005 | Carga de archivos arbitrarios |
| Citrix ADC | CVE-2019-19781 | Salto de directorio |
| Cisco Hyperflex | CVE-2021-1497 | Ejecución de línea de comandos |
| Buffalo WSR | CVE-2021-20090 | Salto de directorio |
| Atlassian Confluence Server and Data Center | CVE-2021-26084 | Ejecución remota de código |
| Hikvision Webserver | CVE-2021-36260 | Inyección de comandos |
| Sitecore XP | CVE-2021-42237 | Ejecución remota de código |
| F5 Big-IP | CVE-2022-1388 | Ejecución remota de código |
| Apache | CVE-2022-24112 | Omisión de autenticación por suplantación de identidad |
| ZOHO | CVE-2021-40539 | Ejecución remota de código |
| Microsoft | CVE-2021-26857 | Ejecución remota de código |
| Microsoft | CVE-2021-26858 | Ejecución remota de código |
| Microsoft | CVE-2021-27065 | Ejecución remota de código |
| Apache HTTP Server | CVE-2021-41773 | Salto de directorio |
A continuación los detalles de algunas de estas vulnerabilidades:
Apache – CVE-2021-44228
Descripción de la vulnerabilidad
Apache Log4j2 2.0-beta9 a 2.15.0 (excluyendo las versiones de seguridad 2.12.2, 2.12.3 y 2.3.1). Las funciones JNDI utilizadas en la configuración, los mensajes de registro y los parámetros no protegen contra LDAP controlado por actores maliciosos y otros puntos finales relacionados con JNDI. Un atacante que pueda controlar los mensajes de registro o los parámetros de los mensajes de registro podría ejecutar un código arbitrario cargado desde los servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada. Desde log4j 2.15.0, este comportamiento se ha desactivado de forma predeterminada. A partir de la versión 2.16.0 (junto con la 2.12.2, 2.12.3 y 2.3.1), esta funcionalidad se eliminó por completo. Ten en cuenta que esta vulnerabilidad es específica de log4j-core y no afecta a log4net, log4cxx u otros proyectos de Apache Logging Services.
Pulse – CVE-2019-11510
Descripción de la vulnerabilidad
Esta vulnerabilidad ha sido modificada desde que fue analizada por última vez. Está a la espera de un nuevo análisis, lo que puede dar lugar a cambios adicionales en la información proporcionada. En Pulse Secure Pulse Connect Secure (PCS) 8.2 anterior a 8.2R12.1, 8.3 anterior a 8.3R7.1 y 9.0 anterior a 9.0R3.4, un atacante remoto no autenticado podría enviar un URI especialmente diseñada para explotar una vulnerabilidad de lectura de archivos arbitraria.
GitLab – CVE-2021-22205
Descripción de la vulnerabilidad
Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones a partir de la 11.9. GitLab no estaba validando correctamente los archivos de imagen pasados a un analizador de archivos, lo que resultó en la ejecución de un comando remoto.
Atlassian – CVE-2022-26134
Descripción de la vulnerabilidad
En las versiones afectadas de Confluence Server y Data Center, existe una vulnerabilidad de inyección de OGNL. Esta podría permitir que un atacante no autenticado ejecute código arbitrario en una instancia de Confluence Server o Data Center.
Microsoft – CVE-2021-26855
Descripción de la vulnerabilidad
Microsoft publicó actualizaciones de seguridad para Windows Exchange Server. Para explotar estas vulnerabilidades, un atacante autenticado podría enviar solicitudes maliciosas a un servidor afectado. Un ciberdelincuente que explote con éxito estas vulnerabilidades podría ejecutar código arbitrario y comprometería los sistemas afectados. Si se explotan con éxito, estas vulnerabilidades podrían permitir que un atacante obtenga acceso a información confidencial, evada las restricciones de seguridad, provoque condiciones de denegación de servicio y/o realice acciones no autorizadas en el servidor de Exchange afectado. Por ende, esto conduciría a más actividades maliciosas.
VMware – CVE-2021-22005
Descripción de la vulnerabilidad
vCenter Server contiene una vulnerabilidad de carga de archivos arbitrarios en el servicio de análisis. Un atacante con acceso de red al puerto 443 en vCenter Server puede aprovechar este problema para ejecutar código en vCenter Server cargando un archivo especialmente diseñado.
Citrix – CVE-2019-19781
Descripción de la vulnerabilidad
Esta vulnerabilidad ha sido modificada desde que fue analizada por última vez. Está a la espera de un nuevo análisis, lo que puede dar lugar a cambios adicionales en la información proporcionada. Se descubrió un problema en Citrix Application Delivery Controller (ADC) y Gateway. La vulnerabilidad permite el salto de directorios.
Cisco – CVE-2021-1497
Descripción de la vulnerabilidad
Múltiples vulnerabilidades en la interfaz de administración basada en la web de Cisco HyperFlex HX podrían permitir que un atacante remoto no autenticado realice una inyección de comando contra un dispositivo afectado
Hikvision – CVE-2021-36260
Descripción de la vulnerabilidad
Esta vulnerabilidad ha sido modificada desde que fue analizada por última vez. Está a la espera de un nuevo análisis, lo que puede dar lugar a cambios adicionales en la información proporcionada. Existe una vulnerabilidad de inyección de comandos en el servidor web de algunos productos de Hikvision. Debido a la validación de entrada insuficiente, un atacante puede aprovechar la vulnerabilidad para lanzar una inyección de comando enviando algunos mensajes con comandos maliciosos.
Apache – CVE-2022-24112
Descripción de la vulnerabilidad
Un atacante puede abusar del complemento de batch-requests para enviar solicitudes para eludir la restricción de IP de la API de administración. Una configuración predeterminada de Apache APISIX (con clave de API predeterminada) es vulnerable a la ejecución remota de código. Cuando se cambia la clave de administración o se cambia el puerto de la API de administración a un puerto diferente al del panel de datos, el impacto es menor. Pero aún existe el riesgo de eludir la restricción de IP del panel de datos de Apache APISIX. Hay una verificación en el complemento batch-requests que anula la IP del cliente con su IP remota real. Pero debido a un error en el código, esta verificación se puede evadir.
ZOHO CVE-2021-40539
Descripción de la vulnerabilidad
Zoho ManageEngine ADSelfService Plus versión 6113 y anteriores son vulnerables a la evasión de autenticación de API REST con la ejecución de código remoto resultante.
Apache – CVE-2021-41773
Descripción de la vulnerabilidad
Esta vulnerabilidad ha sido modificada desde que fue analizada por última vez. Está a la espera de un nuevo análisis, lo que puede dar lugar a cambios adicionales en la información proporcionada. La vulnerabilidad fue encontrada en un cambio realizado en la normalización de rutas en Apache HTTP Server 2.4.49.
Un atacante podría usar un ataque de salto de directorio para asignar URLs a archivos fuera de los directorios configurados por directivas similares a Alias. Si los archivos fuera de estos directorios no están protegidos por la configuración predeterminada habitual “require all denied”, estas solicitudes pueden tener éxito. Habilitar secuencias de comandos CGI para estas rutas con alias podría permitir la ejecución remota de código. Sabemos que esta vulnerabilidad está siendo explotada en el entorno. Este problema solo afecta a Apache 2.4.49 y no a versiones anteriores.
Medidas de mitigación
La NSA, la CISA y el FBI también instaron a los gobiernos de Estados Unidos y sus aliados, a la infraestructura crítica y a las organizaciones del sector privado a aplicar las siguientes medidas de mitigación para defenderse de los ataques cibernéticos patrocinados por China.
Las tres agencias federales aconsejan a las organizaciones que apliquen parches de seguridad lo antes posible. Además, deben utilizar autenticación multifactor (MFA) resistente al phishing siempre que sea posible. Finalmente, deben reemplazar la infraestructura de red al final de su vida útil que ya no recibe parches de seguridad.
También recomiendan avanzar hacia el modelo de seguridad Zero Trust y habilitar un inicio de sesión sólido en los servicios expuestos a Internet para detectar intentos de ataque lo antes posible.
El aviso conjunto de hoy sigue a otros dos que compartieron información sobre tácticas, técnicas y procedimientos (TTP) utilizados por grupos de amenazas respaldados por China (en 2021) y vulnerabilidades conocidas públicamente que explotan en ataques (en 2020).
En junio, también revelaron que los hackers del estado chino habían comprometido a las principales empresas de telecomunicaciones y proveedores de servicios de red para robar credenciales y recolectar datos.
El martes, el gobierno de Estados Unidos también emitió una alerta sobre hackers respaldados por el estado que roban datos de contratistas de defensa de Estados Unidos. Los hackers están utilizando el malware CovalentStealer personalizado y el framework Impacket.
