Топ CVE, активно эксплуатируемых группировками, спонсируемыми Китайской Народной Республикой

vulnerability

В этом совместном информационном сообщении по кибербезопасности (CSA) представлены основные общие уязвимости(CVE), используемые с 2020 года государственными киберакторами Китайской Народной Республики (КНР) по оценке Агентства национальной безопасности (АНБ), Агентства кибербезопасности и безопасности инфраструктуры (CISA) и Федерального бюро расследований (ФБР). Спонсируемые государством киберучастники КНР продолжают использовать известные уязвимости для активных атак на сети США и союзников, а также на компании, производящие программное и аппаратное обеспечение, с целью кражи интеллектуальной собственности и получения доступа к секретным сетям.

Этот совместный CSA основывается на предыдущих отчетах АНБ, CISA и ФБР, чтобы информировать федеральные и государственные, местные и территориальные (SLTT) правительства; критически важную инфраструктуру, включая сектор оборонно-промышленной базы; и организации частного сектора о заметных тенденциях и постоянных тактиках, методах и процедурах (TTPs).

Технические подробности

АНБ, CISA и ФБР продолжают оценивать спонсируемую государством кибердеятельность КНР как одну из крупнейших и наиболее динамичных угроз для правительственных и гражданских сетей США. Государственные киберструктуры КНР продолжают атаковать правительственные сети и сети критической инфраструктуры, используя все больше новых и адаптивных методов, некоторые из которых представляют значительный риск для организаций сектора информационных технологий (включая телекоммуникационных провайдеров), организаций сектора оборонно-промышленной базы (ОППБ) и других организаций критической инфраструктуры.

Государственные группировки КНР продолжают использовать известные уязвимости и общедоступные инструменты для атак на интересующие их сети. По оценкам АНБ, CISA и ФБР, государственные киберакторы КНР активно атакуют сети США и союзников, а также компании, производящие программное и аппаратное обеспечение, с целью кражи интеллектуальной собственности и получения доступа к секретным сетям. В таблице 1 приведены наиболее часто используемые CVE.

VendorCVEVulnerability Type
Apache Log4jCVE-2021-44228Remote Code Execution
Pulse Connect SecureCVE-2019-11510Arbitrary File Read
GitLab CE/EECVE-2021-22205Remote Code Execution
AtlassianCVE-2022-26134Remote Code Execution
Microsoft ExchangeCVE-2021-26855Remote Code Execution
F5 Big-IPCVE-2020-5902Remote Code Execution
VMware vCenter ServerCVE-2021-22005Arbitrary File Upload
Citrix ADCCVE-2019-19781Path Traversal
Cisco HyperflexCVE-2021-1497Command Line Execution
Buffalo WSRCVE-2021-20090Relative Path Traversal
Atlassian Confluence Server and Data CenterCVE-2021-26084Remote Code Execution
Hikvision WebserverCVE-2021-36260Command Injection
Sitecore XPCVE-2021-42237Remote Code Execution
F5 Big-IPCVE-2022-1388Remote Code Execution
ApacheCVE-2022-24112Authentication Bypass by Spoofing
ZOHOCVE-2021-40539Remote Code Execution
MicrosoftCVE-2021-26857Remote Code Execution
MicrosoftCVE-2021-26858Remote Code Execution
MicrosoftCVE-2021-27065Remote Code Execution
Apache HTTP ServerCVE-2021-41773Path Traversal

Эти спонсируемые государством субъекты продолжают использовать виртуальные частные сети (VPN) для маскировки своей деятельности и нацеливаются на веб-приложения для получения первоначального доступа. Многие из CVE, указанных в Таблице 1, позволяют злоумышленникам скрытно получить несанкционированный доступ к чувствительным сетям, после чего они стремятся обеспечить устойчивость и перейти к другим внутренним сетям.

 

 

Комментарии: 0