Figyelmeztetés kínai állami támogatású APT csoportok által kihasznált sérülékenységekről

Amerikai biztonsági szervek közös biztonsági közleményben figyelmeztetnek kínai állami támogatású kiberfenyegetési szereplők által leggyakrabban kihasznált sérülékenységekre és a támadások megelőzését célzó javasolt védelmi intézkedésekre.

A közlemény szerint ezek az állami támogatású szereplők kiberhírszerzési műveleteket folytatnak nem csupán az Egyesült Államok, hanem szövetséges országok informatikai hálózatai, valamint szoftver és hardvergyártók ellen is. A támadások jellemzően szellemi tulajdonjog által védett információk megszerzésére és további érzékeny hálózatokhoz történő hozzáférésre irányulnak.

Az NSA, a CISA és az FBI amerikai és szövetséges államok kormányzatai, kritikus infrastuktúrái, valamint a privát szektor szereplői számára javasolják a közleményben javasolt védelmi intézkedések alkalmazását.

A kínai kiberfenyegetési szereplők által leggyakrabban kihasznált sérülékenységek listája:

Gyártó CVE azonosító A sérülékenység típusa
Apache Log4j CVE-2021-44228 Remote Code Execution
Pulse Connect Secure CVE-2019-11510 Arbitrary File Read
GitLab CE/EE CVE-2021-22205 Remote Code Execution
Atlassian CVE-2022-26134 Remote Code Execution
Microsoft Exchange CVE-2021-26855 Remote Code Execution
F5 Big-IP CVE-2020-5902 Remote Code Execution
VMware vCenter Server CVE-2021-22005 Arbitrary File Upload
Citrix ADC CVE-2019-19781 Path Traversal
Cisco Hyperflex CVE-2021-1497 Command Line Execution
Buffalo WSR CVE-2021-20090 Relative Path Traversal
Atlassian Confluence Server and Data Center CVE-2021-26084 Remote Code Execution
Hikvision Webserver CVE-2021-36260 Command Injection
Sitecore XP CVE-2021-42237 Remote Code Execution
F5 Big-IP CVE-2022-1388 Remote Code Execution
Apache CVE-2022-24112 Authentication Bypass by Spoofing
ZOHO CVE-2021-40539 Remote Code Execution
Microsoft (Exchange) CVE-2021-26857 Remote Code Execution
Microsoft (Exchange) CVE-2021-26858 Remote Code Execution
Microsoft (Exchange) CVE-2021-27065 Remote Code Execution
Apache HTTP Server CVE-2021-41773 Path Traversal

 

Az infrastruktúra üzemeltetők számára javasolt védekezési intézkedések

  • Tartsák naprakészen rendszereiket! Részesítsék előnyben a jelen tájékoztatóban szereplő, valamint a további ismert módon kihasznált sebezhetőségeket megszüntető biztonsági frissítések telepítését!
  • Az adathalászat mérséklése érdekében vezessenek be többtényezős hitelesítést minden olyan rendszer esetében, ahol ez műszakilag lehetséges. Minden felhasználói fiók esetében írják elő az erős, egyedi jelszavak alkalmazását, és kényszerítsék ki a jelszavak azonnali megváltoztatását, amennyiben a fiókkompromittálódás gyanúja merülne fel!
  • Tiltsák a nem használt hálózati portokat és protokollokat a határvédelmi eszközökön!
  • Cseréljék azon eszközöket, amelyek életciklusuk végéhez értek, azaz már nem részesülnek gyártói támogatásban!
  • Kezdjék el bevezetni a zéró bizalom elven alapuló (Zero Trust) biztonsági modellt!
  • Az Internet felől elérhető rendszereken alkalmazzanak részletes naplózást, és valósítsanak meg folyamatos anomáliadetektálást!

 

A szabadon terjeszthető (TLP:WHITE) biztonsági közlemény letölthető pdf formátumban.

(cisa.gov)