NSA: las 5 vulnerabilidades abusadas activamente por hackers del gobierno ruso

  • 0 Respuestas
  • 399 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 1151
  • Actividad:
    100%
  • Country: 00
  • Reputación 21
    • Ver Perfil
    • Email


NSA: las 5 principales vulnerabilidades abusadas activamente por hackers del gobierno ruso

Un aviso conjunto de la Agencia de Seguridad Nacional de EE. UU. (NSA), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI) advierte que el Servicio de Inteligencia Exterior de Rusia (SVR) está explotando cinco vulnerabilidades en ataques contra EE. UU. organizaciones e intereses.

En un aviso emitido hoy, la NSA dijo que está al tanto de que la SVR rusa usa estas vulnerabilidades contra los servicios públicos para obtener credenciales de autenticación y así comprometer aún más las redes corporativas y gubernamentales de EE. UU.

La NSA aconseja a todas las organizaciones que apliquen parches de inmediato a los dispositivos vulnerables para protegerse contra ataques cibernéticos que conducen al robo de datos, fraude bancario y ataques de ransomware.

"Las vulnerabilidades son parte del conjunto de herramientas de SVR para apuntar a redes en los sectores gubernamental y privado", dijo Rob Joyce, Director de Ciberseguridad de la NSA. "Necesitamos hacer el trabajo de SVR más difícil. "

Vulnerabilidades utilizadas en diferentes fases de ataque


El gobierno de EE. UU. Recomienda encarecidamente que todos los administradores "implementen con urgencia las mitigaciones asociadas" para estas vulnerabilidades a fin de evitar nuevos ataques por parte de la SVR rusa y otros actores de amenazas.

"La mitigación contra estas vulnerabilidades es de vital importancia, ya que las redes estadounidenses y aliadas son constantemente escaneadas, atacadas y explotadas por ciberactores patrocinados por el estado ruso".

"Además de comprometer la cadena de suministro del software SolarWinds Orion, las actividades recientes de SVR incluyen apuntar a las instalaciones de investigación COVID-19 a través del malware WellMess y apuntar a las redes a través de la vulnerabilidad de VMware revelada por la NSA", advierte el aviso conjunto.

A continuación se muestran las cinco vulnerabilidades principales que la NSA, CISA y el FBI han visto atacadas por el SVR ruso.

CVE-2018-13379 apunta a Fortinet FortiOS 6.0.0 a 6.0.4, 5.6.3 a 5.6.7 y 5.4.6 a 5.4.12:

En los portales web de la red privada virtual (VPN) de la capa de sockets seguros (SSL) de Fortinet, una limitación incorrecta de un nombre de ruta a un directorio restringido ("Path Traversal") permite que un atacante no autenticado descargue archivos del sistema a través de solicitudes de recursos HTTP especialmente diseñadas

Los actores de amenazas han utilizado ampliamente esta vulnerabilidad en el pasado para atacar a agencias gubernamentales y redes corporativas, incluidos los sistemas de apoyo a las elecciones del gobierno de EE. UU., las organizaciones de investigación COVID-19 y, más recientemente, para implementar el ransomware Cring.  En noviembre del 2020 un actor filtró credenciales para casi 50.000 dispositivos VPN de Fortinet en un foro de piratas informáticos.

Advertencias gubernamental: APT29 apunta al desarrollo de la vacuna COVID-19 y mitiga las vulnerabilidades VPN recientes

CVE-2019-9670 apunta a Synacor Zimbra Collaboration Suite 8.7.x antes de 8.7.11p10

En Synacor Zimbra Collaboration Suite, el componente de buzón de correo tiene una vulnerabilidad de inyección de entidad externa XML (XXE).

Advertencias del gubernamental: APT29 apunta al desarrollo de la vacuna COVID-19

CVE-2019-11510 apunta a Pulse Connect Secure (PCS) 8.2 antes de 8.2R12.1, 8.3 antes de 8.3R7.1 y 9.0 antes de 9.0R3.4

En Pulse Secure VPN, un atacante remoto no autenticado puede enviar un Identificador uniforme de recursos (URI) especialmente diseñado para realizar una lectura de archivo arbitraria.

Las VPN de Pulse Secure han sido las favoritas de los actores de amenazas durante algún tiempo, ya que se utilizan para obtener acceso a las redes del gobierno de EE. UU., atacar hospitales e implementar ransomware en las redes.

Advertencias gubernamental: Mitigar las vulnerabilidades VPN recientes y APT29 apunta al desarrollo de la vacuna COVID-19

CVE-2019-19781 apunta a las versiones Citrix ADC y Gateway anteriores a 13.0.47.24, 12.1.55.18, 12.0.63.13, 11.1.63.15 y 10.5.70.12 y SD-WAN WANOP 4000-WO, 4100-WO, 5000-WO y 5100 -Versiones WO anteriores a 10.2.6by 11.0.3b.

Citrix Application Delivery Controller (ADC) y Gateway permiten el cruce de directorios.

Se sabe que la vulnerabilidad CVE-2019-19781 es utilizada por los actores de amenazas, incluidas las bandas de ransomware, para obtener acceso a las redes corporativas e implementar malware.

Advertencias gubernamental: Mitigar CVE-2019-19781, APT29 apunta al desarrollo de la vacuna COVID-19 y Detectar y prevenir Web Shell Malware.

CVE-2020-4006 apunta a VMware One Access 20.01 y 20.10 en Linux, VMware Identity Manager 3.3.1 - 3.3.3 en Linux, VMware Identity Manager Connector 3.3.1 - 3.3.3 y 19.03, VMware Cloud Foundation 4.0 - 4.1, y VMware Vrealize Suite Lifecycle Manager 8.x.

VMware Workspace One Access, Access Connector, Identity Manager e Identity Manager Connector tienen una vulnerabilidad de inyección de comandos.

En diciembre de 2020, el gobierno de EE. UU. advirtió que los actores de amenazas patrocinados por el estado ruso estaban explotando esta vulnerabilidad para implementar web shells en servidores vulnerables y exfiltrar datos.

Advertencias gubernamental: Actores patrocinados por el Estado ruso que aprovechan la vulnerabilidad y realizan una gestión de red fuera de banda.

Como la SVR rusa ha estado utilizando una combinación de estas vulnerabilidades en sus ataques, se recomienda encarecidamente que todos los administradores instalen las actualizaciones de seguridad asociadas de inmediato.

La NSA advirtió el año pasado que dos de estas vulnerabilidades, CVE-2019-11510 y CVE-2019-19781, también se encuentran entre las 25 vulnerabilidades principales utilizadas por los piratas informáticos patrocinados por el estado de China.

Resumen:



La NSA alerta a sus clientes a mitigar con urgencia, las siguientes vulnerabilidades conocidas públicamente:

•   CVE-2018-13379 Fortinet FortiGate VPN
•   CVE-2019-9670 Synacor Zimbra Collaboration Suite
•   CVE-2019-11510 Pulse Secure Pulse Connect Secure VPN
•   CVE-2019-19781 Citrix Application Delivery Controller and Gateway
•   CVE-2020-4006 VMware Workspace ONE Access


Fuente:

NSA
https://www.nsa.gov/News-Features/Feature-Stories/Article-View/Article/2573391/russian-foreign-intelligence-service-exploiting-five-publicly-known-vulnerabili/

BleepingComputer
https://www.bleepingcomputer.com/news/security/nsa-top-5-vulnerabilities-actively-abused-by-russian-govt-hackers/
« Última modificación: Abril 15, 2021, 07:49:00 pm por AXCESS »