В этом совместном информационном сообщении по кибербезопасности (CSA) представлены основные общие уязвимости(CVE), используемые с 2020 года государственными киберакторами Китайской Народной Республики (КНР) по оценке Агентства национальной безопасности (АНБ), Агентства кибербезопасности и безопасности инфраструктуры (CISA) и Федерального бюро расследований (ФБР). Спонсируемые государством киберучастники КНР продолжают использовать известные уязвимости для активных атак на сети США и союзников, а также на компании, производящие программное и аппаратное обеспечение, с целью кражи интеллектуальной собственности и получения доступа к секретным сетям.
Этот совместный CSA основывается на предыдущих отчетах АНБ, CISA и ФБР, чтобы информировать федеральные и государственные, местные и территориальные (SLTT) правительства; критически важную инфраструктуру, включая сектор оборонно-промышленной базы; и организации частного сектора о заметных тенденциях и постоянных тактиках, методах и процедурах (TTPs).
Технические подробности
АНБ, CISA и ФБР продолжают оценивать спонсируемую государством кибердеятельность КНР как одну из крупнейших и наиболее динамичных угроз для правительственных и гражданских сетей США. Государственные киберструктуры КНР продолжают атаковать правительственные сети и сети критической инфраструктуры, используя все больше новых и адаптивных методов, некоторые из которых представляют значительный риск для организаций сектора информационных технологий (включая телекоммуникационных провайдеров), организаций сектора оборонно-промышленной базы (ОППБ) и других организаций критической инфраструктуры.
Государственные группировки КНР продолжают использовать известные уязвимости и общедоступные инструменты для атак на интересующие их сети. По оценкам АНБ, CISA и ФБР, государственные киберакторы КНР активно атакуют сети США и союзников, а также компании, производящие программное и аппаратное обеспечение, с целью кражи интеллектуальной собственности и получения доступа к секретным сетям. В таблице 1 приведены наиболее часто используемые CVE.
Vendor | CVE | Vulnerability Type |
Apache Log4j | CVE-2021-44228 | Remote Code Execution |
Pulse Connect Secure | CVE-2019-11510 | Arbitrary File Read |
GitLab CE/EE | CVE-2021-22205 | Remote Code Execution |
Atlassian | CVE-2022-26134 | Remote Code Execution |
Microsoft Exchange | CVE-2021-26855 | Remote Code Execution |
F5 Big-IP | CVE-2020-5902 | Remote Code Execution |
VMware vCenter Server | CVE-2021-22005 | Arbitrary File Upload |
Citrix ADC | CVE-2019-19781 | Path Traversal |
Cisco Hyperflex | CVE-2021-1497 | Command Line Execution |
Buffalo WSR | CVE-2021-20090 | Relative Path Traversal |
Atlassian Confluence Server and Data Center | CVE-2021-26084 | Remote Code Execution |
Hikvision Webserver | CVE-2021-36260 | Command Injection |
Sitecore XP | CVE-2021-42237 | Remote Code Execution |
F5 Big-IP | CVE-2022-1388 | Remote Code Execution |
Apache | CVE-2022-24112 | Authentication Bypass by Spoofing |
ZOHO | CVE-2021-40539 | Remote Code Execution |
Microsoft | CVE-2021-26857 | Remote Code Execution |
Microsoft | CVE-2021-26858 | Remote Code Execution |
Microsoft | CVE-2021-27065 | Remote Code Execution |
Apache HTTP Server | CVE-2021-41773 | Path Traversal |
Эти спонсируемые государством субъекты продолжают использовать виртуальные частные сети (VPN) для маскировки своей деятельности и нацеливаются на веб-приложения для получения первоначального доступа. Многие из CVE, указанных в Таблице 1, позволяют злоумышленникам скрытно получить несанкционированный доступ к чувствительным сетям, после чего они стремятся обеспечить устойчивость и перейти к другим внутренним сетям.