Non classé

La NSA publie une liste des 25 problèmes les plus vulnérables exploités par les pirates chinois; Pékin nous appelle un "empire du piratage" en réponse – Un serveur de qualité

Le 29 octobre 2020 - 9 minutes de lecture


La National Security Agency (NSA) des États-Unis a publié un rapport décrivant les 25 meilleures vulnérabilités actuellement exploitées par les groupes de piratage chinois parrainés par l'État. La NSA a déclaré que les bogues existaient dans les services Web ou les outils d'accès à distance.

Les vulnérabilités sont directement accessibles depuis Internet et peuvent servir de portails vers les réseaux internes des organisations, selon la NSA. Outre les pirates informatiques chinois, d'autres acteurs de la menace parrainés par l'État de Russie et d'Iran avaient également exploité certaines de ces principales vulnérabilités pour compromettre les systèmes informatiques.

La NSA considérait la cyberactivité malveillante chinoise comme l'un des plus grands risques pour les réseaux d'information de la base industrielle de défense américaine (DIB), des systèmes de sécurité nationale américains (NSS) et du ministère de la Défense (DoD). Ainsi, l'agence fédérale encourage les organisations des secteurs public et privé à patcher leurs systèmes.

Principales vulnérabilités exploitées par les pirates chinois

La NSA a noté que toutes les vulnérabilités majeures exploitées par les pirates chinois sont bien connues et ont des mises à jour existantes. De nombreuses vulnérabilités majeures ont été incorporées dans divers kits d'exploitation utilisés par les gangs de rançongiciels, les pirates informatiques parrainés par l'État et les groupes de logiciels malveillants.

Auparavant, la Cybersecurity and Infrastructure Security Agency (CISA) et le FBI avaient envoyé un avertissement conjoint sur les cybercriminels utilisant des chaînes de vulnérabilité pour compromettre les systèmes électoraux utilisant Zerologon et les vulnérabilités VPN. Les principales vulnérabilités exploitées par les pirates chinois incluent:

  • CVE-2019-11510 (Erreur d'informations de fichier aléatoire) – La vulnérabilité Pulse Secure VPN permet à un utilisateur non autorisé d'effectuer des lectures de fichiers arbitraires via un URI spécialement conçu. L'erreur peut permettre à un attaquant de lire le nom d'utilisateur et le mot de passe.
  • CVE-2020-5902 – Vulnérabilité RCE (Remote Code Execution) des proxys IP F5 BIG et de l'équilibreur de charge dans l'interface utilisateur de gestion du trafic (TMUI). L'erreur permet à un attaquant de prendre le contrôle d'appareils avec un accès à distance.
  • CVE-2019-19781 (Bogue transversal de l'annuaire) – existe sur Citrix Application Delivery Controller (ADC) et Gateway. La vulnérabilité permet l'exécution de code à distance par un attaquant non autorisé.
  • CVE-2020-8193, CVE-2020-8195, CVE-2020-8196 (Erreurs Citrix ADC et passerelle) – Les trois erreurs Citrix autorisent l'accès non autorisé à certains points de terminaison d'URL par des utilisateurs non privilégiés. La vulnérabilité affecte également les périphériques SDWAN WAN-OP.
  • CVE-2019-0708 (Vulnérabilité BlueKeep) – Cette vulnérabilité d'exécution de code à distance se trouve dans les services Bureau à distance exécutés sur les systèmes d'exploitation Windows.
  • CVE-2020-15505 – Vulnérabilité avec l'exécution de code à distance MobileIron dans le logiciel de gestion des appareils mobiles (MDM). L'erreur permet à un attaquant d'exécuter du code arbitraire et de contrôler des serveurs distants.
  • CVE-2020-1350 (SIGRed) – Une vulnérabilité de serveur DNS (Domain Name System) Windows qui permet l'exécution de code à distance lorsque les serveurs ne traitent pas correctement les demandes.
  • CVE-2020-1472 (Zerologon) – Une vulnérabilité permet à un attaquant de se connecter à un contrôleur de domaine Windows via un canal sécurisé Netlogon vulnérable à l'aide du protocole Netlogon Remote Protocol (MS-NRPC).
  • CVE-2019-1040 – La vulnérabilité dans Microsoft Windows permet à l'homme du milieu (MiTM) en contournant la protection NTLM Message Integrity Check (MIC).
  • CVE-2018-6789 – La vulnérabilité de l'agent de transfert de messagerie Exim permet à un attaquant de contrôler les serveurs de messagerie en envoyant un message spécialement conçu. L'attaque exploite l'exception de dépassement de mémoire tampon dans l'application ciblée.
  • CVE-2020-0688 – Vulnérabilité d'exécution de code à distance Microsoft Exchange. L'erreur se produit lorsque le logiciel ne gère pas correctement les objets en mémoire.
  • CVE-2018-4939 – Désérialisation de la vulnérabilité de données non approuvée trouvée dans certaines versions d'Adobe ColdFusion. Le bogue permet l'exécution de code arbitraire par un attaquant distant.
  • CVE-2015-4852 Une vulnérabilité existe sur le composant de sécurité WLS d'Oracle WebLogic 15 Server. Le bogue permet à un attaquant distant d'exécuter des commandes arbitraires via un objet Java série spécialement conçu
  • CVE-2020-2555 – Vulnérabilité Oracle Fusion Middleware sur le composant Oracle Coherence. Cette vulnérabilité permet à un attaquant non autorisé de compromettre les systèmes Oracle Coherence via l'accès au réseau T3.
  • CVE-2019-3396 – Vulnérabilité de chemin transversal et exécution de code à distance dans la macro Atlassian Confluence 17 Server Widget Connector. Le bogue permet aux attaquants de compromettre l'instance du serveur Confluence ou du centre de données par une mauvaise injection côté serveur.
  • CVE-2019-11580 Un attaquant pourrait installer des plugins arbitraires pour exécuter des attaques d'exécution de code à distance en envoyant des commandes à l'instance Atlassian Crowd ou Crowd Data Center.
  • CVE-2020-10189 – Exécution de code à distance Zoho ManageEngine Desktop Central. L'erreur provient de la désérialisation de données non fiables.
  • CVE-2019-18935 – Une vulnérabilité d'exécution de code à distance dans l'interface utilisateur Progress Telerik pour ASP.NET AJAX. L'erreur permet au processus de désérialisation .NET d'avoir lieu dans le composant RadAsyncUpload.
  • CVE-2020-0601 (CurveBall) – Vulnérabilité d'usurpation d'identité dans Windows CryptoAPI (Crypt32.dll) qui valide les certificats ECC (Elliptic Curve Cryptography). Un attaquant pourrait utiliser un faux certificat de signature de code pour signer un exécutable malveillant. La vulnérabilité permet à un acteur menaçant de prétendre être une source fiable.
  • CVE-2019-0803 – Extension de vulnérabilité de privilège dans Windows lorsque le composant Win32K ne parvient pas à gérer correctement les objets en mémoire.
  • CVE-2017-6327 – Capacité d'exécution de code externe dans Symantec Messaging Gateway.
  • CVE-2020-3118 – existe sur l'implémentation du Cisco Discovery Protocol pour le logiciel Cisco IOS XR. Un attaquant autorisé ou adjacent pourrait provoquer un rechargement ou exécuter du code arbitraire sur l'appareil affecté.
  • CVE-2020-8515 – Error permet l'exécution à distance d'attaques sur les appareils DrayTek Vigor par un utilisateur root non authentifié.

Selon Jayant Shukla, CTO et co-fondateur de K2 Cyber ​​Security, maintenir les logiciels à jour est le moyen le plus sûr d'empêcher les pirates chinois d'exploiter certaines des plus grandes vulnérabilités.

Pour les organisations qui ne peuvent pas se tenir à jour ou qui ne disposent pas des ressources nécessaires pour maintenir le logiciel à jour, elles devraient rechercher des solutions de mise à jour virtuelle qui protègent l'application, telles que celles proposées par les solutions RASP (Runtime Application Self-Protection), qui sont désormais mandatées par la dernière version du cadre de sécurité et de confidentialité NIST SP800-53 Revision 5. Les solutions RASP protègent également l'organisation contre les vulnérabilités nouvelles et non corrigées. "

Chloé Messdaghi, vice-présidente de la stratégie chez Point3 Security, affirme que les pirates chinois affiliés et indépendants tentaient activement d'exploiter les plus grandes vulnérabilités à leur propre profit.

«Les attaquants chinois peuvent être que [a] État-nation, peut être une entreprise ou un groupe d'entreprises, ou simplement un groupe d'acteurs menaçants ou un individu essayant d'obtenir des informations exclusives pour les utiliser et créer des entreprises compétitives … en d'autres termes pour voler et utiliser pour leur propre profit. "

Outre les plus grandes vulnérabilités de la NSA, les hackers chinois n'hésiteraient pas à exploiter les vulnérabilités existantes pour compromettre les systèmes informatiques américains. Ils peuvent utiliser la chaîne de vulnérabilité pour augmenter la mortalité de leurs attaques en combinant plusieurs vulnérabilités pour affaiblir davantage le système et créer un point d'ancrage.

Les autorités chinoises répondent aux allégations de cyberespionnage de la NSA

Le ministère chinois des Affaires étrangères a protesté contre l'accusation de cyberespionnage international de l'agence américaine. En retour, le gouvernement de Pékin a qualifié les États-Unis d '«empire du piratage informatique», citant divers programmes de cyberespionnage tels que PRISM. Le programme était la plus grande campagne de cyberespionnage, révélée par Snowden.

Zhao Lijian, un porte-parole du ministère chinois des Affaires étrangères, a ajouté que les États-Unis avaient un "avantage naturel" dans l'exploitation des vulnérabilités en raison de leur rôle de premier plan dans le développement de logiciels et de matériel. Lijian a également noté que les États-Unis et le groupe "The Five Eyes" avaient exigé des portes dérobées sur diverses applications telles que WhatsApp pour permettre l'espionnage. WhatsApp utilise un algorithme de chiffrement de bout en bout pour empêcher l'écoute clandestine des communications tierces.

La NSA a répertorié les 25 plus grandes vulnérabilités exploitées par les #hackers chinois. Pékin a accusé les Etats-Unis d'être un "empire du piratage". # cybersécurité #respectdata

Cliquez pour Tweet

Les contre-accusations de cyberespionnage sont courantes entre les États-Unis et la Chine. La société chinoise de cybersécurité, Qihoo 360, avait accusé la CIA d'avoir mené une campagne de cyberespionnage de 11 ans contre les compagnies aériennes chinoises. La société américaine de cybersécurité Symantec a également signalé que des pirates chinois avaient volé les outils de piratage de la NSA et les avaient utilisés contre des alliés américains.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.