Órgãos públicos alertam sobre agentes com apoio governamental estrangeiro que exploram vulnerabilidades publicamente conhecidas
Agentes com apoio governamental da Rússia e da China estão aproveitando várias vulnerabilidades publicamente conhecidas em seus ataques, todas com patches disponíveis.
Em 20 de outubro, a National Security Agency (NSA) dos EUA publicou um aviso de segurança detalhado (em inglês) para informar os defensores sobre "atores cibernéticos" com apoio do governo chinês que exploram vulnerabilidades conhecidas. O objetivo do comunicado é ajudar os defensores da rede a priorizar os esforços de correção e mitigação, além de especificar que os ativos voltados para a Internet, como ferramentas de acesso remoto e serviços da Web externos, são os principais alvos dos agentes de ameaças.
Dois dias depois, a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA publicou um comunicado sobre segurança cibernética em conjunto com o FBI (em inglês) sobre agentes de ameaças persistentes avançadas (APT) com apoio do estado russo que estão aproveitando-se de cinco vulnerabilidades publicamente conhecidas em ataques. Três das cinco vulnerabilidades listadas neste comunicado também estavam no alerta da NSA.
Embora o alerta da NSA concentre-se principalmente nos Sistemas de Segurança Nacional, ele termina com um aviso mais amplo: "Devido aos vários sistemas e redes que podem ser afetados pelas informações neste produto [o alerta da NSA] fora desses setores, a NSA recomenda que os CVEs acima devam ser priorizados para tomada de ações por todos os defensores de redes".
Muitas das vulnerabilidades nestes avisos estão alinhadas a alertas semelhantes (em inglês) que foram publicados pela CISA no ano passado, e todas as vulnerabilidades listadas têm patches disponíveis.
Alertas anteriores
Este é o último de uma série de alertas este ano de órgãos governamentais advertindo sobre agentes de ameaças que utilizam vulnerabilidades conhecidas com patches disponíveis. Duas das vulnerabilidades listadas no alerta da NSA, CVE-2020-19781 e CVE-2019-11510, foram identificadas como algumas das vulnerabilidades mais exploradas em 2020 no Alerta das dez principais vulnerabilidades exploradas rotineiramente (disponível em inglês) da CISA. No início de outubro, a CISA fez uma parceria com o FBI em uma consultoria conjunta sobre a atividade de APT (em inglês), aproveitando várias vulnerabilidades conhecidas, incluindo a CVE-2020-1472 "Zerologon". Várias das vulnerabilidades listadas naquele comunicado conjunto também estão presentes no último alerta da NSA.
Aplicação de patches de mitigação
A NSA lista seis etapas para mitigação geral em seu alerta. O primeiro da lista é a atualização e a aplicação de patches em tempo hábil:
- Mantenha os sistemas e os produtos atualizados e aplique patches o mais rápido possível após o lançamento das correções.
- Suponha que o roubo ou a modificação dos dados (incluindo credenciais, contas e software) antes de o dispositivo receber o patch não serão suavizados pela aplicação de correções. Por isso, alterar senhas e revisar contas são boas práticas.
- Desative os recursos de gerenciamento externo e configure uma rede de gerenciamento fora de banda.
- Bloqueie protocolos obsoletos ou não usados na extremidade da rede e desative-os nas configurações do dispositivo.
- Isole os serviços voltados para a Internet em uma zona desmilitarizada (DMZ) de rede para reduzir a exposição da rede interna.
- Habilite o registro amplo de serviços voltados para a Internet e monitore os registros em busca de sinais de comprometimento.
Esta série de avisos de órgãos governamentais enfatiza bastante a importância de corrigir essas vulnerabilidades de forma rápida e completa. Agentes de ameaças com diversos níveis de habilidade estão explorando ativamente essas falhas em ataques contra diversos alvos e continuarão a fazê-lo enquanto os alvos não aplicarem os patches disponíveis para seus respectivos dispositivos.
Cobertura da Tenable
A Tenable tem cobertura de produto para todas as 27 vulnerabilidades listadas nos alertas NSA e CISA/FBI. A tabela abaixo inclui links para os plug-ins relevantes para cada vulnerabilidade, bem como a análise da Tenable Research.
CVEs | Produtos | Data de divulgação | Plug-ins e informações adicionais |
---|---|---|---|
CVE-2015-4852 | Oracle WebLogic Server | Novembro de 2015 | Plug-ins |
CVE-2017-6327 | Symantec Messaging Gateway | Agosto de 2017 | Plug-ins |
CVE-2018-6789 | Exim Message Transfer Agent | Fevereiro de 2018 | Plug-ins |
CVE-2018-4939 | Adobe ColdFusion | Maio de 2018 | Plug-ins |
CVE-2019-3396 | Atlassian Confluence | Março de 2019 | Plug-ins | Publicação no blog |
CVE-2019-0708 | Windows Remote Desktop Protocol | Abril de 2019 | Plug-ins | Publicações no blog: 1, 2, 3 |
CVE-2019-0803 | Windows Win32k | Abril de 2019 | Plug-ins |
CVE-2019-11510 | Pulse Connect Secure | Abril de 2019 | Plug-ins | Publicações no blog: 1, 2, 3, 4 |
CVE-2019-11580 | Atlassian Crowd | Junho de 2019 | Plug-ins | Publicações no blog |
CVE-2019-1040 | Windows NTLM | Junho de 2019 | Plug-ins |
CVE-2019-18935 | Telerik UI for ASP.NET | Dezembro de 2019 | Plug-ins | Publicações no blog |
CVE-2019-19781 | Citrix Application Delivery Controller (ADC), Gateway e SDWAN WAN-OP | Dezembro de 2019 | Plug-ins | Publicações no blog 1, 2, 3, 4, 5, 6 |
CVE-2020-0601 | Windows CryptoAPI | Janeiro de 2020 | Plug-ins | Publicações no blog: 1, 2 |
CVE-2020-2555 | Oracle Coherence | Janeiro de 2020 | Plug-ins | Publicações no blog |
CVE-2020-3118 | Cisco Discovery Protocol | Fevereiro de 2020 | Plug-ins | Publicações no blog |
CVE-2020-0688 | Microsoft Exchange Server | Fevereiro de 2020 | Plug-ins | Publicações no blog: 1, 2, 3 |
CVE-2020-8515 | DrayTek Vigor | Fevereiro de 2020 | Plug-ins |
CVE-2020-10189 | Zoho ManageEngine | Março de 2020 | Plug-ins | Publicações no blog |
CVE-2020-5902 | F5 BIG-IP | Julho de 2020 | Plug-ins | Publicações no blog: 1, 2, 3 |
CVE-2020-15505 | MobileIron MDM | Julho de 2020 | Plug-ins | Publicações no blog |
CVE-2020-1350 | Windows DNS Server | Julho de 2020 | Plug-ins | Publicações no blog |
CVE-2020-8193 | Citrix ADC, Gateway e SDWAN WAN-OP | Julho de 2020 | Plug-ins | Publicação no blog |
CVE-2020-8195 | Citrix ADC, Gateway e SDWAN WAN-OP | Julho de 2020 | Plug-ins | Publicações no blog |
CVE-2020-8196 | Citrix ADC, Gateway e SDWAN WAN-OP | Julho de 2020 | Plug-ins | Publicações no blog |
CVE-2020-1472 | Microsoft Netlogon | Agosto de 2020 | Plug-ins | Publicações no blog: 1 ,2, 3 |
Alerta de vulnerabilidades CISA/FBI (AA20-296A) | |||
CVE-2018-13379 | Fortinet VPN | Maio de 2019 | Plug-ins | Publicações no blog: 1, 2, 3 |
CVE-2019-10149 | Exim | Junho de 2019 | Plug-ins | Publicações no blog |
Obtenha mais informações
- Participe de nosso webinar em 29 de outubro: Ramp-Up Your Response to Latest State Sponsored Attacks (em inglês), 14h ET, quinta-feira, 29 de outubro de 2020.
- Alerta NSA: Chinese State-Sponsored Actors Exploit Publicly Known Vulnerabilities (em inglês).
- Alerta CISA/FBI (AA20-296A): Russian State-Sponsored Advanced Persistent Threat Actor Compromises U.S. Government Targets (em inglês).
Junte-se à equipe de resposta de segurança da Tenable na Tenable.
Saiba mais sobre a Tenable, a primeira plataforma de Cyber Exposure para o gerenciamento holístico da sua superfície de ataque moderna.
Obtenha uma avaliação gratuitamente por 30 dias do Tenable.io Vulnerability Management.
Artigos relacionados
- Federal
- Government
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning