La NSA advierte: Los hackers Chinos están explotando 25 vulnerabilidades

La agencia nacional de seguridad de Estados Unidos, NSA, ha informado de 25 vulnerabilidades que hackers del gobierno chino están utilizando actualmente para irrumpir en redes, robar datos, entre otros tipos de ataque. La organización norteamericana indica que liberó este listado para ayudar a los departamentos de TI a priorizar el parchado. En otras palabras: si no sabe que actualizaciones aplicar primero, comience con estas.

Hablando de tropiezos en programación, el 20 de octubre del presente año Google corrigió un hoyo de seguridad en el ultra-utilizado navegador Chrome que estaba siendo explotado a diestra y siniestra por maleantes. La vulnerabilidad en cuestión, CVE-2020-15999, radica en la conversión de tipo Freeparsing en el software. La versión 86.0.4240.111 del navegador para todos los sistemas operativos soportados ya viene con este problema correjido y debería estar en distribución en los próximos dias.

La lista de 25 vulnerabilidades de la NSA son errores de programación que son conocidas y para las cuales ya existen parches disponibles. De estas 7 afectan a sistemas de acceso remoto, 7 a servidores internos, una administración de dispositivos móviles, 2 son escalar privilegios, 2 afectan a Active Directory, 3 a equipos de red, y 3 a servidores públicos.

La directora de ciberseguridad de la NSA, Anne Neuberger, dijo este pasado martes: “Hemos escuchado fuerte y claro que puede ser difícil prorizar el parchado y los esfuerzos de mitigación”. Ademas de que “Esperamos que al destacar estas vulnerabilidades que China está utilizando para comprometer sistemas, los profesionales de la ciberseguridad obtengan información para priorizar esfuerzos y securizar sus sistemas”

El Listado

CVE-2019-11510
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11510
Afecta a: Pulse Secure vpn
Descripción:Un atacante remoto sin autenticar puede enviar una URI especialmente creada para ejecutar lectura arbitraria de archivos. Esto puede exponer llaves o contraseñas.

CVE-2020-5902
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5902
Afecta a: F5 BIG-IP balanceador de carga / proxy
Descripción: La Traffic Management User Interface (TMUI), a la cual también se le refiere como utilidad de configuración, tiene una vulnerabilidad de ejecución remota de código (RCE), la cual se encuentra publicada en internet.

CVE-2019-19781
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19781
Afecta a: Citrix Application Delivery Controller (ADC) y Gateway
Descripción: Permite movimiento por directorios, lo que conlleva una ejecución remota de código sin credenciales.

CVE-2020-8193, CVE-2020-8195, CVE-2020-8196
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8193
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8195
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8196

Afecta a: Citrix Application Delivery Controller (ADC) y Gateway
Descripción: Control de acceso e validación de entrada inapropiados, esto permite acceso sin autenticación a cuertos endpoints mediante URL y también acceso a información restringida para usuarios de bajos privilegios.

CVE-2019-0708
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0708
Afecta a: Microsoft Windows Remote Desktop Services
Descripción: Ejecución remota de código cuando un atacante sin autenticar se conecta al objetivo utilizando RDP y enviando paquetes creados especialmente para esto.

CVE-2020-15505
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15505
Afecta a: MobileIron mobile device management (MDM)
Descripción: Ejecución remota de código que permite que un atacante remoto ejecute comandos sin autenticación mediante vectores sin especificar.

CVE-2020-1350
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1350
Afecta a: Servers Microsoft Windows Domain Name System (DNS)
Descripción: Ejecución remota de código que perturba el correcto manejo de requerimientos.

CVE-2020-1472
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472
Afecta a: Microsoft Netlogon Remote Protocol (MS-NRPC)
Descripción: Existe una elevación de privilegios cuando un atacante establece una conexión vulnerable mediante un canal seguro Netlogon hacia un controlador de dominio.

CVE-2019-1040
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1040
Afecta a: Microsoft Windows
Descripción: Manipulación mediante ataques de tipo man-in-the-middle al evitar la protección NTLM MIC.

CVE-2018-6789
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6789
Afecta a: Exim
Descripción: Una función base64d del listener SMTP permite un sobreflujo del buffer, esto permite la ejecución de código remoto.

CVE-2020-0688
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0688
Afecta a: Microsoft Exchange
Descripción: Ejecución remota de código cuando el software falla en manejar apropiadamente los objetos en memoria.

CVE-2018-4939
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-4939
Afecta a: Adobe ColdFusion 11 Update 13 y anteriores
Descripción: Vulnerabilidad de des-serialización de datos no confiables. La explotación exitosa puede conllevar la ejecución de código arbitrario.

CVE-2015-4852
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4852
Afecta a: Oracle WebLogic
Descripción: El componente de seguridad de WLS 10.3.6.0, 12.1.2.0, 12.1.3.0, y 12.2.1.0, permite que un atacante remoto ejecute comandos arbitrariamente mediante un objeto serializado en Java en el tráfico del protocolo T3 mediante el puerto TCP 7001

CVE-2020-2555
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2555
Afecta a: Oracle Fusion Middleware
Descripción: En Oracle Coherence de OFM existe una explotación fácil que permite a un atacante remoto comprometer Oracle Coherence mediante acceso T3. Esto permite tomar el control de Oracle Coherence.

CVE-2019-3396
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3396
Afecta a: Atlassian Confluence Server
Descripción: La vulnerabilidad permite que in atacante remoto obtenga movimiento entre directorios y ejecición remota de código, mediante server-side template injection.

CVE-2019-11580
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11580
Afecta a: Atlassian Crowd y Crowd Data Center
Descripción: Existe un plugin habilitado incorrectamente en los releases llamado pdkinstall. Este permite que atacantes envien requerimientos sin autenticar puedan explotar esta vulnerabilidad, permitiendo la ejecición remota de código.

CVE-2020-10189
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10189
Afecta a: Zoho ManageEngine Desktop Central
Descripción: Es posible realizar una ejecución remota de código debido a la des-serialización de datos no confiables en el método getChartImage de la clase FileStorage.

CVE-2019-18935
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18935
Afecta a: Progress Telerik UI for ASP.NET AJAX 2019.3.1023 y anteriores
Descripción: Una vulnerabilidad de des-serialización en la función RadAsyncUpload, permite que mediante el conocmimiento de las llaves de encriptación (CVE-2017-11317 o CVE-2017-11357) resulte en la ejecición de remota de código.

CVE-2020-0601
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0601
Afecta a: Microsoft Windows
Descripción: Suplantación en el modo que la MS Windows CryptoAPI (Crypt32.dll) valida los certificados ECC. Un atacante puede explotar la vulnerabilidad al utilizar un ejecutable firmado con un certificado con código falsificado, lo que aparentaría ser legítimo. En este caso permite cualquier tipo de ataque mediante malware.

CVE-2019-0803
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0803
Afecta a: Microsoft Windows
Descripción: Elevación de privilegios en MS Windows cuando el componente Win32k falla al manejar objetos en memoria.

CVE-2017-6327
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6327
Afecta a: Symantec Messaging Gateway
Descripción: Ejecución remota de código.

CVE-2020-3118
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6327
Afecta a: Cisco IOS XR
Descripción: Una vulnerabilidad en la implementación del Cisco Discovery Protocol permite que un atacante sin autenticar ejecute código arbitrariamente o causar una recarga en un sistema afectado.

CVE-2020-8515
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8515
Afecta a: DrayTek Vigor2960 1.3.1_Beta, Vigor3900 1.4.4_Beta, and Vigor300B 1.3.3_Beta, 1.4.2.1_Beta, y 1.4.4_Beta
Descripción: Estos dispositivos permiten una ejecución remota de código como root sin autenticar, esto, mediante metacaracteres del shell.

Fuentes

https://www.theregister.com/2020/10/20/nsa_china_hacking/
https://www.theregister.com/2020/08/06/china_russia_disinformation_black_hat/
https://www.nsa.gov/News-Features/News-Stories/Article-View/Article/2387347/nsa-warns-chinese-state-sponsored-malicious-cyber-actors-exploiting-25-cves/
https://twitter.com/benhawkes/status/1318640422571266048