😎 60% Descuento:  Curso de Hacking Redes Inalámbricas >> Ver Más

Estas son las vulnerabilidades más explotadas por los hackers chinos desde el 2020

La NSA, la CISA y el FBI revelaron hoy las principales vulnerabilidades de seguridad que más explotan los hackers respaldados por la República Popular China (RPC). Estas vulnerabilidades están siendo usadas para atacar las redes gubernamentales y de infraestructura crítica.

Las tres agencias federales dijeron en un aviso conjunto que los hackers patrocinados por China están apuntando a redes y compañías tecnológicas estadounidenses y aliadas para obtener acceso a redes sensibles y robar propiedad intelectual.

“La NSA, la CISA y el FBI continúan evaluando las actividades cibernéticas patrocinadas por el estado de la República Popular China. Esta representa una de las amenazas más grandes y dinámicas para el gobierno y las redes civiles de Estados Unidos.”

“Este aviso conjunto se basa en informes anteriores de la NSA, la CISA y el FBI para informar al gobierno federal y estatal, local, tribal y territorial (SLTT), infraestructura crítica, incluido el Sector de Base Industrial de Defensa, y organizaciones del sector privado sobre tendencias notables y tácticas persistentes, técnicas y procedimientos (TTP)”.

El aviso también incluye mitigaciones recomendadas para cada una de las vulnerabilidades de seguridad más explotadas por los atacantes chinos. También incluye métodos de detección y tecnologías vulnerables para ayudar a los defensores a detectar y bloquear los intentos de ataque entrantes.

Vulnerabilidades más explotadas

Las siguientes vulnerabilidades de seguridad han sido las más explotadas por los hackers estatales respaldados por China desde 2020, según la NSA, la CISA y el FBI.

Producto afectadoCVETipo de vulnerabilidad
Apache Log4jCVE-2021-44228Ejecución remota de código
Pulse Connect SecureCVE-2019-11510Lectura de archivos arbitrarios
GitLab CE/EECVE-2021-22205Ejecución remota de código
AtlassianCVE-2022-26134Ejecución remota de código
Microsoft ExchangeCVE-2021-26855Ejecución remota de código
F5 Big-IPCVE-2020-5902Ejecución remota de código
VMware vCenter ServerCVE-2021-22005Carga de archivos arbitrarios
Citrix ADCCVE-2019-19781Salto de directorio
Cisco HyperflexCVE-2021-1497Ejecución de línea de comandos
Buffalo WSRCVE-2021-20090Salto de directorio
Atlassian Confluence Server and Data CenterCVE-2021-26084Ejecución remota de código
Hikvision WebserverCVE-2021-36260Inyección de comandos
Sitecore XPCVE-2021-42237Ejecución remota de código
F5 Big-IPCVE-2022-1388Ejecución remota de código
ApacheCVE-2022-24112Omisión de autenticación por suplantación de identidad
ZOHOCVE-2021-40539Ejecución remota de código
MicrosoftCVE-2021-26857Ejecución remota de código
MicrosoftCVE-2021-26858Ejecución remota de código
MicrosoftCVE-2021-27065Ejecución remota de código
Apache HTTP ServerCVE-2021-41773Salto de directorio

A continuación los detalles de algunas de estas vulnerabilidades:

Apache – CVE-2021-44228

Descripción de la vulnerabilidad

Apache Log4j2 2.0-beta9 a 2.15.0 (excluyendo las versiones de seguridad 2.12.2, 2.12.3 y 2.3.1). Las funciones JNDI utilizadas en la configuración, los mensajes de registro y los parámetros no protegen contra LDAP controlado por actores maliciosos y otros puntos finales relacionados con JNDI. Un atacante que pueda controlar los mensajes de registro o los parámetros de los mensajes de registro podría ejecutar un código arbitrario cargado desde los servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada. Desde log4j 2.15.0, este comportamiento se ha desactivado de forma predeterminada. A partir de la versión 2.16.0 (junto con la 2.12.2, 2.12.3 y 2.3.1), esta funcionalidad se eliminó por completo. Ten en cuenta que esta vulnerabilidad es específica de log4j-core y no afecta a log4net, log4cxx u otros proyectos de Apache Logging Services.

Pulse –  CVE-2019-11510

Descripción de la vulnerabilidad

Esta vulnerabilidad ha sido modificada desde que  fue analizada por última vez. Está a la espera de un nuevo análisis, lo que puede dar lugar a cambios adicionales en la información proporcionada. En Pulse Secure Pulse Connect Secure (PCS) 8.2 anterior a 8.2R12.1, 8.3 anterior a 8.3R7.1 y 9.0 anterior a 9.0R3.4, un atacante remoto no autenticado podría enviar un URI especialmente diseñada para explotar una vulnerabilidad de lectura de archivos arbitraria.

GitLab – CVE-2021-22205

Descripción de la vulnerabilidad

Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones a partir de la 11.9. GitLab no estaba validando correctamente los archivos de imagen pasados ​​a un analizador de archivos, lo que resultó en la ejecución de un comando remoto.

Atlassian – CVE-2022-26134 

Descripción de la vulnerabilidad

En las versiones afectadas de Confluence Server y Data Center, existe una vulnerabilidad de inyección de OGNL. Esta podría permitir que un atacante no autenticado ejecute código arbitrario en una instancia de Confluence Server o Data Center. 

Microsoft – CVE-2021-26855 

Descripción de la vulnerabilidad

Microsoft publicó actualizaciones de seguridad para Windows Exchange Server. Para explotar estas vulnerabilidades, un atacante autenticado podría enviar solicitudes maliciosas a un servidor afectado. Un ciberdelincuente que explote con éxito estas vulnerabilidades podría ejecutar código arbitrario y comprometería los sistemas afectados. Si se explotan con éxito, estas vulnerabilidades podrían permitir que un atacante obtenga acceso a información confidencial, evada las restricciones de seguridad, provoque condiciones de denegación de servicio y/o realice acciones no autorizadas en el servidor de Exchange afectado. Por ende, esto conduciría a más actividades maliciosas.

VMware – CVE-2021-22005 

Descripción de la vulnerabilidad

vCenter Server contiene una vulnerabilidad de carga de archivos arbitrarios en el servicio de análisis. Un atacante con acceso de red al puerto 443 en vCenter Server puede aprovechar este problema para ejecutar código en vCenter Server cargando un archivo especialmente diseñado.

Citrix – CVE-2019-19781

Descripción de la vulnerabilidad

Esta vulnerabilidad ha sido modificada desde que fue analizada por última vez. Está a la espera de un nuevo análisis, lo que puede dar lugar a cambios adicionales en la información proporcionada. Se descubrió un problema en Citrix Application Delivery Controller (ADC) y Gateway. La vulnerabilidad permite el salto de directorios.

Cisco – CVE-2021-1497

Descripción de la vulnerabilidad

Múltiples vulnerabilidades en la interfaz de administración basada en la web de Cisco HyperFlex HX podrían permitir que un atacante remoto no autenticado realice una inyección de comando contra un dispositivo afectado

Hikvision – CVE-2021-36260

Descripción de la vulnerabilidad

Esta vulnerabilidad ha sido modificada desde que fue analizada por última vez. Está a la espera de un nuevo análisis, lo que puede dar lugar a cambios adicionales en la información proporcionada. Existe una vulnerabilidad de inyección de comandos en el servidor web de algunos productos de Hikvision. Debido a la validación de entrada insuficiente, un atacante puede aprovechar la vulnerabilidad para lanzar una inyección de comando enviando algunos mensajes con comandos maliciosos.

Apache – CVE-2022-24112

Descripción de la vulnerabilidad

Un atacante puede abusar del complemento de batch-requests para enviar solicitudes para eludir la restricción de IP de la API de administración. Una configuración predeterminada de Apache APISIX (con clave de API predeterminada) es vulnerable a la ejecución remota de código. Cuando se cambia la clave de administración o se cambia el puerto de la API de administración a un puerto diferente al del panel de datos, el impacto es menor. Pero aún existe el riesgo de eludir la restricción de IP del panel de datos de Apache APISIX. Hay una verificación en el complemento batch-requests que anula la IP del cliente con su IP remota real. Pero debido a un error en el código, esta verificación se puede evadir.

ZOHO CVE-2021-40539 

Descripción de la vulnerabilidad

Zoho ManageEngine ADSelfService Plus versión 6113 y anteriores son vulnerables a la evasión de autenticación de API REST con la ejecución de código remoto resultante.

Apache – CVE-2021-41773 

Descripción de la vulnerabilidad

Esta vulnerabilidad ha sido modificada desde que fue analizada por última vez. Está a la espera de un nuevo análisis, lo que puede dar lugar a cambios adicionales en la información proporcionada. La vulnerabilidad fue encontrada en un cambio realizado en la normalización de rutas en Apache HTTP Server 2.4.49. 

Un atacante podría usar un ataque de salto de directorio para asignar URLs a archivos fuera de los directorios configurados por directivas similares a Alias. Si los archivos fuera de estos directorios no están protegidos por la configuración predeterminada habitual “require all denied”, estas solicitudes pueden tener éxito. Habilitar secuencias de comandos CGI para estas rutas con alias podría permitir la ejecución remota de código. Sabemos que esta vulnerabilidad está siendo explotada en el entorno. Este problema solo afecta a Apache 2.4.49 y no a versiones anteriores.

Medidas de mitigación

La NSA, la CISA y el FBI también instaron a los gobiernos de Estados Unidos y sus aliados, a la infraestructura crítica y a las organizaciones del sector privado a aplicar las siguientes medidas de mitigación para defenderse de los ataques cibernéticos patrocinados por China.

Las tres agencias federales aconsejan a las organizaciones que apliquen parches de seguridad lo antes posible. Además, deben utilizar autenticación multifactor (MFA) resistente al phishing siempre que sea posible. Finalmente, deben reemplazar la infraestructura de red al final de su vida útil que ya no recibe parches de seguridad.

También recomiendan avanzar hacia el modelo de seguridad Zero Trust y habilitar un inicio de sesión sólido en los servicios expuestos a Internet para detectar intentos de ataque lo antes posible.

El aviso conjunto de hoy sigue a otros dos que compartieron información sobre  tácticas, técnicas y procedimientos (TTP)  utilizados por grupos de amenazas respaldados por China (en 2021) y  vulnerabilidades conocidas públicamente que explotan en ataques  (en 2020).

En junio, también revelaron que los hackers del estado chino habían  comprometido a las principales empresas de telecomunicaciones y proveedores de servicios de red  para robar credenciales y recolectar datos.

El martes, el gobierno de Estados Unidos también emitió una alerta sobre hackers respaldados por el estado que  roban datos de contratistas de defensa de Estados Unidos.  Los hackers están utilizando el malware CovalentStealer personalizado y el framework Impacket.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información