Las 25 vulnerabilidades más explotadas por hackers chinos, según la NSA

La Agencia de Seguridad Nacional de Estados Unidos (NSA) advierte que los hackers patrocinados por el estado chino están explotando activamente 25 vulnerabilidades. Están sacando el máximo provecho a dichas vulnerabilidades en diferentes ataques contra organizaciones e intereses estadounidenses.

En un aviso emitido hoy, la NSA dijo que está al tanto de los ataques dirigidos de hackers patrocinados por el estado chino contra diferentes sistemas. Los Sistemas de Seguridad Nacional (NSS), la Base Industrial de Defensa de Estados Unidos (DIB) y las redes de información del Departamento de Defensa (DoD).

Como parte de estos ataques, la NSA ha visto explotar veinticinco vulnerabilidades reveladas públicamente. Esto para obtener acceso a las redes, implementar aplicaciones móviles maliciosas y propagarse lateralmente a través de un sistema mientras los atacantes roban datos confidenciales.

La NSA aconseja a todas las organizaciones que apliquen parches de inmediato a los dispositivos vulnerables. Se deben aplicar parches para protegerse contra ciberataques que conducen al robo de datos, fraude bancario y ataques de ransomware.

“Sabemos que puede ser difícil priorizar parches y los esfuerzos de mitigación,” afirmó el director de Ciberseguridad de la NSA Anne Neuberger.

“Esperamos que al destacar las vulnerabilidades que China está utilizando activamente para comprometer los sistemas podemos ayudar a las empresas. Los profesionales de ciberseguridad obtendrán información procesable para priorizar los esfuerzos y asegurar sus sistemas”.

Vulnerabilidades utilizadas en diferentes fases de ataque

La NSA ha categorizado las vulnerabilidades en diferentes grupos para ilustrar cómo se utilizan en los ciberataques.

Explotar el acceso remoto seguro

Estas vulnerabilidades son para obtener acceso a las redes. Los hackers chinos utilizan siete vulnerabilidades diferentes, muchas de las cuales también proporcionan credenciales que se pueden usar para expandirse más en la red.

• CVE-2019-11510 – Vulnerabilidades de Pulse Secure VPN que permiten que un atacante no autenticado obtenga acceso a las credenciales de VPN.
• CVE-2020-5902 – Una vulnerabilidad de ejecución remota de código del balanceador de carga/proxy F5 BIG-IP® 8.
• CVE-2019-19781. Una vulnerabilidad transversal de directorios de Citrix Application Delivery Controller (ADC) y Gateway, que puede llevar a la ejecución remota de código sin credenciales.
• CVE-2020-8193. La vulnerabilidad Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP. Esta permite el acceso no autenticado a ciertos puntos finales de URL y la divulgación de información a usuarios con pocos privilegios
• CVE-2020-8195. La vulnerabilidad Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP permite el acceso no autenticado a ciertos puntos finales de URL y la divulgación de información a usuarios con pocos privilegios
• CVE-2020-8196. La vulnerabilidad Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP. Esta permite el acceso no autenticado a ciertos puntos finales de URL y la divulgación de información a usuarios con pocos privilegios
• CVE-2019-0708. La vulnerabilidad del servicio de escritorio remoto de Windows BlueKeep permite a los usuarios no autenticados realizar la ejecución remota de código.

Explotar la administración de dispositivos móviles (MDM)

Al comprometer los servidores MDM, los hackers pueden expulsar aplicaciones móviles maliciosas. También pueden cambiar configuraciones de dispositivos que envían tráfico a través de servidores proxy o hosts controlados por atacantes.

• CVE-2020-15505. Una vulnerabilidad de ejecución remota de código en la administración de dispositivos móviles (MDM) MobileIron 13.

Aprovechar Active Directory para movimiento lateral y acceso a credenciales

• CVE-2020-1472. La vulnerabilidad crítica de elevación de privilegios de Windows ZeroLogon Netlogon 10/10 permite a los hackers obtener rápidamente acceso a las credenciales de administrador de dominio en un controlador de dominio. A partir de ahí, pueden recopilar datos confidenciales o implementar malware, como ransomware.
• CVE-2019-1040. Una vulnerabilidad de Windows NTLM permite a los atacantes reducir la seguridad incorporada para el sistema operativo Windows.

Explotar servidores públicos

Los atacantes utilizan estas vulnerabilidades para evadir la autenticación en servidores web, servidores de correo electrónico o DNS. Esto para ejecutar comandos de forma remota en la red interna. Para los servidores web comprometidos, los atacantes pueden utilizarlos en ataques watering-hole para atacar a futuros visitantes.

• CVE-2020-1350 – la vulnerabilidad SigRed del servidor DNS de Windows permite a los atacantes propagarse lateralmente a través de una red.
• CVE-2018-6789 – una vulnerabilidad del servidor de correo Exim permite la ejecución de código remoto no autenticado.
• CVE-2018-4939 – vulnerabilidad de Adobe ColdFusion 14 que podría llevar a la ejecución de código arbitrario

Explotar servidores internos

Estas vulnerabilidades se utilizan para propagarse lateralmente a través de una red y obtener acceso a servidores internos, donde los atacantes pueden robar datos valiosos.

• CVE-2020-0688 – una vulnerabilidad de Microsoft Exchange que permite a los usuarios autenticados realizar la ejecución remota de código.
• CVE-2015-4852 – el componente de seguridad WLS en Oracle WebLogic15 Server permite a atacantes remotos ejecutar comandos arbitrarios. Esto a través de un objeto Java16 serializado diseñado.
• CVE-2020-2555 – existe una vulnerabilidad en el producto Oracle® Coherence de Oracle Fusion® Middleware. Esta fácilmente explotable 
• CVE-2019-3396 – existe una vulnerabilidad de inyección de plantilla del lado del servidor en el conector de widgets en los servidores de Atlassian Confluence. Esta permite a los atacantes remotos realizar la ejecución remota de código y recorrido de la ruta.
• CVE-2019-11580 – los atacantes que pueden enviar solicitudes a una instancia de Atlassian® Crowd o Crowd Data Center. Pueden aprovechar esta vulnerabilidad para instalar plugins arbitrarios, lo que permite la ejecución remota de código. Esta vulnerabilidad se utilizó en ataques de ransomware GandCrab en el pasado.
• CVE-2020-10189 – la vulnerabilidad de Zoho ManageEngine 18 Desktop Central permite la ejecución remota de código. Esta vulnerabilidad se utilizó en ataques para implementar puertas traseras.
• CVE-2019-18935 – una vulnerabilidad en la interfaz de usuario de Telerik 19 para ASP.NET AJAX puede provocar la ejecución remota de código. Fue visto utilizado por un grupo de hackers llamado ‘Blue Mockingbird’ para instalar mineros de Monero en servidores vulnerables. Empero, también podría usarse para propagarse lateralmente.

Explota las estaciones de trabajo de los usuarios para la escalada de privilegios locales.

Cuando un atacante obtiene acceso a una estación de trabajo, su objetivo final es obtener credenciales o privilegios administrativos. Usando estas vulnerabilidades, un hacker puede elevar sus privilegios al SISTEMA o al acceso de administrador.

• CVE-2020-0601- una vulnerabilidad de suplantación de Windows CryptoAPI descubierta por la NSA. Permite a los atacantes falsificar certificados de firma de código para hacer que los ejecutables maliciosos parezcan estar firmados por una empresa de confianza legítima.
• CVE-2019-0803 – existe una vulnerabilidad de elevación de privilegios en Windows® cuando el componente Win32k no puede manejar correctamente los objetos en la memoria. 

Explotar dispositivos de red

Este último grupo de vulnerabilidades permite a los atacantes monitorear y modificar el tráfico de red a medida que fluye por el dispositivo. 

• CVE-2017-6327 – Symantec 22 Messaging Gateway puede encontrar un problema de ejecución remota de código.
• CVE-2020-3118 – una vulnerabilidad ‘CDPwn’ de Cisco en la implementación del Protocolo de descubrimiento de Cisco para el software Cisco IOS 23 XR. Esta podría permitir la ejecución remota de código.
• CVE-2020-8515 – Los dispositivos DrayTek Vigor 24 permiten la ejecución remota de código como root (sin autenticación) a través de metacaracteres de shell

Como se ha visto a los hackers patrocinados por el estado chino utilizando una combinación de estas vulnerabilidades, se recomienda encarecidamente que todos los administradores las parcheen lo antes posible.