Questa settimana la US National Security Agency ha rilasciato un avviso contenente informazioni su 25 vulnerabilità che vengono attivamente sfruttate o prese di mira dagli hacker sponsorizzati dallo Stato cinese.
La maggior parte di questi bug di sicurezza, afferma la NSA, può essere utilizzata per l’accesso iniziale alle reti, sfruttando le risorse rivolte a Internet. Dopo il compromesso, gli avversari possono prendere di mira ulteriori vulnerabilità per lo sfruttamento.
L’elenco condiviso dall’NSA questa settimana contiene un totale di 25 vulnerabilità, tra cui CVE-2019-11510 (Pulse Secure VPN), CVE-2020-5902 (F5 BIG-IP), CVE-2019-0708 (BlueKeep), CVE- 2020-1350 (SIGRed), CVE-2020-1472 (Zerologon), CVE-2020-0601 (CurveBall), CVE-2018-6789 (server di posta Exim), CVE-2015-4852 (Oracle WebLogic) e CVE-2019 -19781, CVE-2020-8193, CVE-2020-8195 e CVE-2020-8196 (Citrix ADC e Gateway).
L’elenco menziona anche CVE-2020-15505 (MobileIron MDM), CVE-2019-1040 (Windows), CVE-2020-0688 (Microsoft Exchange), CVE-2018-4939 (Adobe ColdFusion), CVE-2020-2555 (Oracle Coherence), CVE-2019-3396 (Atlassian Confluence), CVE-2019-11580 (Atlassian Crowd), CVE-2020-10189 (Zoho ManageEngine Desktop Central), CVE-2019-18935 (Progress Telerik UI per ASP.NET AJAX) , CVE-2019-0803 (Windows), CVE-2017-6327 (Symantec Messaging Gateway), CVE-2020-3118 (software Cisco IOS XR) e CVE-2020-8515 (dispositivi DrayTek Vigor).
La NSA rileva di aver osservato gli hacker cinesi mentre scansionano o tentano di sfruttare queste vulnerabilità contro più vittime. Tuttavia, l’agenzia sottolinea anche che gli stessi avversari potrebbero prendere di mira anche altre vulnerabilità.
Sebbene le vulnerabilità menzionate da NSA siano state descritte pubblicamente, non tutte erano precedentemente note come prese di mira dagli hacker. Ciò include un difetto del protocollo Cisco Discovery rivelato all’inizio di quest’anno.
Per ciascuno di questi bug, l’NSA ha anche menzionato linee guida precedentemente pubblicate, alcune incentrate su attori diversi.
L’agenzia rileva che i sistemi National Security Systems (NSS), US Defense Industrial Base (DIB) e Department of Defense (DoD) sono costantemente presi di mira dagli hacker cinesi e incoraggia i proprietari a garantire che i loro sistemi siano protetti dallo sfruttamento.
L’NSA sottolinea la minaccia che gli hacker cinesi sostenuti dal governo rappresentano per le reti di informazione NSS, DIB e DoD nei loro tentativi di compromettere le reti di computer di interesse per raccogliere proprietà intellettuale ed informazioni economiche, militari e politiche. Pertanto, l’applicazione di patch alle vulnerabilità note è estremamente importante per mantenere i sistemi protetti.
“Sentiamo forte e chiaro che può essere difficile dare la priorità agli sforzi di patch e mitigazione. Ci auguriamo che evidenziando le vulnerabilità che la Cina sta attivamente utilizzando per compromettere i sistemi, i professionisti della sicurezza informatica otterranno informazioni utilizzabili per dare priorità agli sforzi e proteggere i loro sistemi”, ha affermato Anne Neuberger, Direttore della sicurezza informatica della NSA.
Satnam Narang, ingegnere di ricerca del personale presso Tenable, ha dichiarato in un commento inviato via e-mail:
“Se stai riscontrando un déjà vu dall’avviso della National Security Agency (NSA) che elenca le 25 principali vulnerabilità sfruttate da hacker stranieri, la tua sensazione è giustificata. Molte delle vulnerabilità nell’advisory sono in linea con avvisi simili che sono stati pubblicati dalla Cybersecurity and Infrastructure Security Agency (CISA) nell’ultimo anno. È inequivocabilmente chiaro che le vulnerabilità prive di patch rimangono uno strumento prezioso per i criminali informatici e gli attori delle minacce sponsorizzati dallo stato. Con molte delle vulnerabilità elencate nell’advisory che risiedono in strumenti di accesso remoto o servizi Web esterni, è estremamente critico per le organizzazioni dare la priorità all’applicazione di patch a queste vulnerabilità”.
“L’ampiezza dei prodotti coperti da questo elenco di CVE indicherebbe che l’NSA ha curato questo elenco attraverso l’osservazione di molti attacchi intrapresi da questi attori”, ha commentato Oliver Tavakoli, chief technology officer di Vectra.
“Gli stessi exploit coprono anche una vasta gamma di passaggi nel ciclo di vita degli attacchi informatici, indicando che molti degli attacchi in cui questi exploit sono stati osservati erano già abbastanza in profondità nella progressione dell’attacco e molti sono stati probabilmente trovati solo dopo il fatto attraverso una profonda analisi forense sforzi piuttosto che essere stati identificati mentre gli attacchi erano attivi”.