10 наиболее часто используемых уязвимостей от FBI и CISA

Агентство по кибербезопасности и безопасности инфраструктуры (CISA), Федеральное бюро расследований (FBI) и правительство США в целом предоставляют это техническое руководство, чтобы посоветовать специалистам по информационной безопасности в организациях государственного и частного секторов уделять повышенное внимание исправлению наиболее распространенных проблем.

Топ 10 наиболее уязвимых уязвимостей 2016–2019

В своем отчете аналитики FBI и CISA выделили 10 наиболее эксплуатируемых уязвимостей в период с 2016 по 2019 годы: CVE-2017-11882, CVE-2017-0199, CVE-2017-5638, CVE-2012-0158, CVE-2019-0604, CVE-2017-0143, CVE-2018-4878, CVE-2017-8759, CVE-2015-1641 и CVE-2018-7600.

• Согласно техническому анализу правительства США, злоумышленники чаще всего использовали уязвимости в технологии Microsoft Object Linking and Embedding (OLE). OLE позволяет документам содержать встроенный контент из других приложений, таких как электронные таблицы. После OLE второй наиболее часто упоминаемой уязвимой технологией была широко распространенная веб-инфраструктура, известная как Apache Struts.
• Из Топ-10 уязвимостей, наиболее часто используемых среди хакеров, "финансируемых государством" из Китая, Ирана, Северной Кореи и России: CVE-2017-11882, CVE-2017-0199 и CVE-2012-0158. Все три из этих уязвимостей связаны с технологией Microsoft OLE.
• По состоянию на декабрь 2019 года Китайские хакеры часто использовали уязвимость - CVE-2012-0158.

Уязвимости, эксплуатируемые в 2020 году

В дополнение к 10 основным уязвимостям за период с 2016 по 2019 годы, перечисленным выше, правительство США сообщило, что в 2020 году регулярно используются следующие уязвимости:

• Хакеры все чаще обращают внимание на уязвимые места в виртуальной частной сети.
• Уязвимость выполнения произвольного кода в устройствах Citrix VPN, известная как CVE-2019-19781, была обнаружена в эксплойтах.
• Произвольная уязвимость чтения файлов на серверах Pulse Secure VPN, известная как CVE-2019-11510, продолжает оставаться привлекательной целью для злоумышленников.
• Март 2020 года привел к резкому переходу на работу из дома, что потребовало от многих организаций быстрого развертывания облачных сервисов совместной работы, таких как Microsoft Office 365 (O365). Поспешное развертывание Microsoft O365 привело к недосмотру конфигураций безопасности и стало уязвимым для атак.
• Слабые стороны кибербезопасности, недостаточная квалификация сотрудников по противодействию атакам связанным с социальной инженерией и отсутствие планов восстановления системы в чрезвычайных ситуациях, по-прежнему делают организации уязвимыми для атак вымогателей в 2020 году.

Меры по смягчению последствий для топ-10 наиболее эксплуатируемых уязвимостей 2016-2019 г.

CVE-2017-11882

• Уязвимые продукты: продукты Microsoft Office 2007 SP3 / 2010 SP2 / 2013 SP1 / 2016
• Связанное вредоносное ПО: Loki, FormBook, Pony / FAREIT
• Исправление ситуации: Обновите уязвимые продукты Microsoft
• Более подробно: https://nvd.nist.gov/vuln/detail/CVE-2017-11882
• Индикаторы компрометации (IOCs): https://www.us-cert.gov/ncas/analysis-reports/ar20-133e.

CVE-2017-0199

• Уязвимые продукты: Microsoft Office 2007 SP3 / 2010 SP2 / 2013 SP1 / 2016, Vista SP2, Server 2008 SP2, Windows 7 SP1, Windows 8.1
• Связанное вредоносное ПО: FINSPY, LATENTBOT, Dridex
• Исправление ситуации: Обновите уязвимые продукты Microsoft
• Подробнее: https://nvd.nist.gov/vuln/detail/CVE-2017-0199
• Индикаторы компрометации (IOCs): https://www.us-cert.gov/ncas/analysis-reports/ar20-133g , https://www.us-cert.gov/ncas/analysis-reports/ar20-133h , https: // www.us-cert.gov/ncas/analysis-reports/ar20-133p

CVE-2017-5638

• Уязвимые продукты: Apache Struts 2 2.3.x до 2.3.32 и 2.5.x до 2.5.10.1
• Связанное вредоносное ПО: JexBoss
• Исправление ситуации: обновление до Struts 2.3.32 или Struts 2.5.10.1
• Подробнее:
• https://www.us-cert.gov/ncas/analysis-reports/AR18-312A
• https://nvd.nist.gov/vuln/detail/CVE-2017-5638

CVE-2012-0158

• Уязвимые продукты: Microsoft Office 2003 SP3, 2007 SP2 и SP3 и 2010 Gold и SP1; Веб-компоненты Office 2003 с пакетом обновления 3 (SP3); SQL Server 2000 SP4, 2005 SP4 и 2008 SP2, SP3 и R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2 и 2009 Gold и R2; Visual FoxPro 8.0 SP1 и 9.0 SP2; и Visual Basic 6.0
• Связанное вредоносное ПО: Dridex
• Исправление ситуации: Обновите уязвимые продукты Microsoft
• Подробнее:
• https://www.us-cert.gov/ncas/alerts/aa19-339a
• https://nvd.nist.gov/vuln/detail/CVE-2012-0158
• Индикаторы компрометации (IOCs): https://www.us-cert.gov/ncas/analysis-reports/ar20-133i , https://www.us-cert.gov/ncas/analysis-reports/ar20-133j , https: // www.us-cert.gov/ncas/analysis-reports/ar20-133k , https://www.us-cert.gov/ncas/analysis-reports/ar20-133l , https: //www.us-cert. gov / ncas / analysis-reports / ar20-133n , https://www.us-cert.gov/ncas/analysis-reports/ar20-133o

CVE-2019-0604

• Уязвимые продукты: Microsoft SharePoint
• Связанное вредоносное ПО: China Chopper
• Исправление ситуации: Обновите уязвимые продукты Microsoft
• Более подробно: https://nvd.nist.gov/vuln/detail/CVE-2019-0604

CVE-2017-0143

• Уязвимые продукты: Microsoft Windows Vista SP2; Windows Server 2008 SP2 и R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold и R2; Windows RT 8.1; и Windows 10 Gold, 1511 и 1607; и Windows Server 2016
• Связанное вредоносное ПО: многократное использование набора EternalSynergy и EternalBlue Exploit Kit
• Исправление ситуации: Обновите уязвимые продукты Microsoft
• Подробнее: https://nvd.nist.gov/vuln/detail/CVE-2017-0143

CVE-2018-4878

• Уязвимые продукты: Adobe Flash Player до 28.0.0.161
• Связанное вредоносное ПО: DOGCALL
• Исправление ситуации: обновить установку Adobe Flash Player до последней версии
• Более подробно: https://nvd.nist.gov/vuln/detail/CVE-2018-4878
• Индикаторы компрометации (IOCs): https://www.us-cert.gov/ncas/analysis-reports/ar20-133d

CVE-2017-8759

• Уязвимые продукты: Microsoft .NET Framework 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 и 4.7
• Связанное вредоносное ПО: FINSPY, FinFisher, WingBird
• Исправление ситуации: Обновите уязвимые продукты Microsoft
• Более подробно: https://nvd.nist.gov/vuln/detail/CVE-2017-8759
• Индикаторы компрометации (IOCs): https://www.us-cert.gov/ncas/analysis-reports/ar20-133f

CVE-2015-1641

• Уязвимые продукты: Microsoft Word 2007 с пакетом обновления 3 (SP3), Office 2010 с пакетом обновления 2 (SP2), Word 2010 с пакетом обновления 2 (SP2), Word 2013 с пакетом обновления 1 (SP1), Word 2013 RT с пакетом обновления 1 (SP1), Word для Mac 2011, пакет обеспечения совместимости Office SP3, Word Automation Services в SharePoint Server 2010 с пакетом обновления 2 (SP2) и 2013 с пакетом обновления 1 (SP1), а также Office Web Apps Server 2010 SP2 и 2013 SP1
• Связанное вредоносное ПО: Toshliph, UWarrior
• Исправление ситуации: Обновите уязвимые продукты Microsoft
• Подробнее: https://nvd.nist.gov/vuln/detail/CVE-2015-1641
• Индикаторы компрометации (IOCs): https://www.us-cert.gov/ncas/analysis-reports/ar20-133m

CVE-2018-7600

• Уязвимые продукты: Drupal до 7.58, 8.x до 8.3.9, 8.4.x до 8.4.6 и 8.5.x до 8.5.1
• Связанное вредоносное ПО: Kitty
• Исправление ситуации: обновление до последней версии ядра Drupal 7 или 8.
• Более подробно: https://nvd.nist.gov/vuln/detail/CVE-2018-7600

Меры по смягчению последствий для уязвимостей, эксплуатируемых в 2020 году

CVE-2019-11510

• Уязвимые продукты: Pulse Connect Secure 9.0R1 - 9.0R3.3, 8.3R1 - 8.3R7, 8.2R1 - 8.2R12, 8.1R1 - 8.1R15 и Pulse Policy Secure 9.0R1 - 9.0R3.1, 5.4R1 - 5.4R7, 5.3 R1 - 5.3R12, 5.2R1 - 5.2R12, 5.1R1 - 5.1R15
• Исправление ситуации: Обновите уязвимые устройства Pulse Secure
• Подробнее:
• https://www.us-cert.gov/ncas/alerts/aa20-107a
• https://nvd.nist.gov/vuln/detail/CVE-2019-11510
• https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/

CVE-2019-19781

• Уязвимые продукты: контроллер доставки приложений Citrix, Citrix Gateway и Citrix SDWAN WANOP
• Исправление ситуации: Обновите уязвимые устройства Citrix
• Подробнее:
• https://www.us-cert.gov/ncas/alerts/aa20-020a
• https://www.us-cert.gov/ncas/alerts/aa20-031a
• https://www.fireeye.com/blog/products-and-services/2020/01/fireeye-and-citrix-tool-scans-for-iocs-related-to-vulnerability.html
• https://nvd.nist.gov/vuln/detail/CVE-2019-19781
• https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/

Недостатки в конфигурациях безопасности Microsoft O365

• Уязвимые продукты: Microsoft O365
• Исправление ситуации: следуйте рекомендациям по безопасности Microsoft O365
• Более подробно: https://www.us-cert.gov/ncas/alerts/aa20-120a

Слабые стороны организационной кибербезопасности

• Уязвимые продукты: системы, сети и данные
• Смягчение: следуйте лучшим практикам кибербезопасности
• Более подробно: https://www.cisa.gov/cyber-essentials

Подписаться на канал