В этом совместном информационном сообщении по кибербезопасности (CSA) представлены основные общие уязвимости(CVE), используемые с 2020 года государственными киберакторами Китайской Народной Республики (КНР) по оценке Агентства национальной безопасности (АНБ), Агентства кибербезопасности и безопасности инфраструктуры (CISA) и Федерального бюро расследований (ФБР). Спонсируемые государством киберучастники КНР продолжают использовать известные уязвимости для активных атак на сети США и союзников, а также на компании, производящие программное и аппаратное обеспечение, с целью кражи интеллектуальной собственности и получения доступа к секретным сетям.
Этот совместный CSA основывается на предыдущих отчетах АНБ, CISA и ФБР, чтобы информировать федеральные и государственные, местные и территориальные (SLTT) правительства; критически важную инфраструктуру, включая сектор оборонно-промышленной базы; и организации частного сектора о заметных тенденциях и постоянных тактиках, методах и процедурах (TTPs).
Технические подробности
АНБ, CISA и ФБР продолжают оценивать спонсируемую государством кибердеятельность КНР как одну из крупнейших и наиболее динамичных угроз для правительственных и гражданских сетей США. Государственные киберструктуры КНР продолжают атаковать правительственные сети и сети критической инфраструктуры, используя все больше новых и адаптивных методов, некоторые из которых представляют значительный риск для организаций сектора информационных технологий (включая телекоммуникационных провайдеров), организаций сектора оборонно-промышленной базы (ОППБ) и других организаций критической инфраструктуры.
Государственные группировки КНР продолжают использовать известные уязвимости и общедоступные инструменты для атак на интересующие их сети. По оценкам АНБ, CISA и ФБР, государственные киберакторы КНР активно атакуют сети США и союзников, а также компании, производящие программное и аппаратное обеспечение, с целью кражи интеллектуальной собственности и получения доступа к секретным сетям. В таблице 1 приведены наиболее часто используемые CVE.
| Vendor | CVE | Vulnerability Type |
| Apache Log4j | CVE-2021-44228 | Remote Code Execution |
| Pulse Connect Secure | CVE-2019-11510 | Arbitrary File Read |
| GitLab CE/EE | CVE-2021-22205 | Remote Code Execution |
| Atlassian | CVE-2022-26134 | Remote Code Execution |
| Microsoft Exchange | CVE-2021-26855 | Remote Code Execution |
| F5 Big-IP | CVE-2020-5902 | Remote Code Execution |
| VMware vCenter Server | CVE-2021-22005 | Arbitrary File Upload |
| Citrix ADC | CVE-2019-19781 | Path Traversal |
| Cisco Hyperflex | CVE-2021-1497 | Command Line Execution |
| Buffalo WSR | CVE-2021-20090 | Relative Path Traversal |
| Atlassian Confluence Server and Data Center | CVE-2021-26084 | Remote Code Execution |
| Hikvision Webserver | CVE-2021-36260 | Command Injection |
| Sitecore XP | CVE-2021-42237 | Remote Code Execution |
| F5 Big-IP | CVE-2022-1388 | Remote Code Execution |
| Apache | CVE-2022-24112 | Authentication Bypass by Spoofing |
| ZOHO | CVE-2021-40539 | Remote Code Execution |
| Microsoft | CVE-2021-26857 | Remote Code Execution |
| Microsoft | CVE-2021-26858 | Remote Code Execution |
| Microsoft | CVE-2021-27065 | Remote Code Execution |
| Apache HTTP Server | CVE-2021-41773 | Path Traversal |
Эти спонсируемые государством субъекты продолжают использовать виртуальные частные сети (VPN) для маскировки своей деятельности и нацеливаются на веб-приложения для получения первоначального доступа. Многие из CVE, указанных в Таблице 1, позволяют злоумышленникам скрытно получить несанкционированный доступ к чувствительным сетям, после чего они стремятся обеспечить устойчивость и перейти к другим внутренним сетям.
