Топ CVE, активно эксплуатируемых группировками, спонсируемыми Китайской Народной Республикой

vulnerability vulnerability

В этом совместном информационном сообщении по кибербезопасности (CSA) представлены основные общие уязвимости(CVE), используемые с 2020 года государственными киберакторами Китайской Народной Республики (КНР) по оценке Агентства национальной безопасности (АНБ), Агентства кибербезопасности и безопасности инфраструктуры (CISA) и Федерального бюро расследований (ФБР). Спонсируемые государством киберучастники КНР продолжают использовать известные уязвимости для активных атак на сети США и союзников, а также на компании, производящие программное и аппаратное обеспечение, с целью кражи интеллектуальной собственности и получения доступа к секретным сетям.

Этот совместный CSA основывается на предыдущих отчетах АНБ, CISA и ФБР, чтобы информировать федеральные и государственные, местные и территориальные (SLTT) правительства; критически важную инфраструктуру, включая сектор оборонно-промышленной базы; и организации частного сектора о заметных тенденциях и постоянных тактиках, методах и процедурах (TTPs).

Технические подробности

АНБ, CISA и ФБР продолжают оценивать спонсируемую государством кибердеятельность КНР как одну из крупнейших и наиболее динамичных угроз для правительственных и гражданских сетей США. Государственные киберструктуры КНР продолжают атаковать правительственные сети и сети критической инфраструктуры, используя все больше новых и адаптивных методов, некоторые из которых представляют значительный риск для организаций сектора информационных технологий (включая телекоммуникационных провайдеров), организаций сектора оборонно-промышленной базы (ОППБ) и других организаций критической инфраструктуры.

Государственные группировки КНР продолжают использовать известные уязвимости и общедоступные инструменты для атак на интересующие их сети. По оценкам АНБ, CISA и ФБР, государственные киберакторы КНР активно атакуют сети США и союзников, а также компании, производящие программное и аппаратное обеспечение, с целью кражи интеллектуальной собственности и получения доступа к секретным сетям. В таблице 1 приведены наиболее часто используемые CVE.

Vendor CVE Vulnerability Type
Apache Log4j CVE-2021-44228 Remote Code Execution
Pulse Connect Secure CVE-2019-11510 Arbitrary File Read
GitLab CE/EE CVE-2021-22205 Remote Code Execution
Atlassian CVE-2022-26134 Remote Code Execution
Microsoft Exchange CVE-2021-26855 Remote Code Execution
F5 Big-IP CVE-2020-5902 Remote Code Execution
VMware vCenter Server CVE-2021-22005 Arbitrary File Upload
Citrix ADC CVE-2019-19781 Path Traversal
Cisco Hyperflex CVE-2021-1497 Command Line Execution
Buffalo WSR CVE-2021-20090 Relative Path Traversal
Atlassian Confluence Server and Data Center CVE-2021-26084 Remote Code Execution
Hikvision Webserver CVE-2021-36260 Command Injection
Sitecore XP CVE-2021-42237 Remote Code Execution
F5 Big-IP CVE-2022-1388 Remote Code Execution
Apache CVE-2022-24112 Authentication Bypass by Spoofing
ZOHO CVE-2021-40539 Remote Code Execution
Microsoft CVE-2021-26857 Remote Code Execution
Microsoft CVE-2021-26858 Remote Code Execution
Microsoft CVE-2021-27065 Remote Code Execution
Apache HTTP Server CVE-2021-41773 Path Traversal

Эти спонсируемые государством субъекты продолжают использовать виртуальные частные сети (VPN) для маскировки своей деятельности и нацеливаются на веб-приложения для получения первоначального доступа. Многие из CVE, указанных в Таблице 1, позволяют злоумышленникам скрытно получить несанкционированный доступ к чувствительным сетям, после чего они стремятся обеспечить устойчивость и перейти к другим внутренним сетям.

 

 

SEC-1275-1
Добавить комментарий