Amerikai biztonsági szervek közös biztonsági közleményben figyelmeztetnek kínai állami támogatású kiberfenyegetési szereplők által leggyakrabban kihasznált sérülékenységekre és a támadások megelőzését célzó javasolt védelmi intézkedésekre.
A közlemény szerint ezek az állami támogatású szereplők kiberhírszerzési műveleteket folytatnak nem csupán az Egyesült Államok, hanem szövetséges országok informatikai hálózatai, valamint szoftver és hardvergyártók ellen is. A támadások jellemzően szellemi tulajdonjog által védett információk megszerzésére és további érzékeny hálózatokhoz történő hozzáférésre irányulnak.
Az NSA, a CISA és az FBI amerikai és szövetséges államok kormányzatai, kritikus infrastuktúrái, valamint a privát szektor szereplői számára javasolják a közleményben javasolt védelmi intézkedések alkalmazását.
A kínai kiberfenyegetési szereplők által leggyakrabban kihasznált sérülékenységek listája:
Gyártó | CVE azonosító | A sérülékenység típusa |
Apache Log4j | CVE-2021-44228 | Remote Code Execution |
Pulse Connect Secure | CVE-2019-11510 | Arbitrary File Read |
GitLab CE/EE | CVE-2021-22205 | Remote Code Execution |
Atlassian | CVE-2022-26134 | Remote Code Execution |
Microsoft Exchange | CVE-2021-26855 | Remote Code Execution |
F5 Big-IP | CVE-2020-5902 | Remote Code Execution |
VMware vCenter Server | CVE-2021-22005 | Arbitrary File Upload |
Citrix ADC | CVE-2019-19781 | Path Traversal |
Cisco Hyperflex | CVE-2021-1497 | Command Line Execution |
Buffalo WSR | CVE-2021-20090 | Relative Path Traversal |
Atlassian Confluence Server and Data Center | CVE-2021-26084 | Remote Code Execution |
Hikvision Webserver | CVE-2021-36260 | Command Injection |
Sitecore XP | CVE-2021-42237 | Remote Code Execution |
F5 Big-IP | CVE-2022-1388 | Remote Code Execution |
Apache | CVE-2022-24112 | Authentication Bypass by Spoofing |
ZOHO | CVE-2021-40539 | Remote Code Execution |
Microsoft (Exchange) | CVE-2021-26857 | Remote Code Execution |
Microsoft (Exchange) | CVE-2021-26858 | Remote Code Execution |
Microsoft (Exchange) | CVE-2021-27065 | Remote Code Execution |
Apache HTTP Server | CVE-2021-41773 | Path Traversal |
Az infrastruktúra üzemeltetők számára javasolt védekezési intézkedések
- Tartsák naprakészen rendszereiket! Részesítsék előnyben a jelen tájékoztatóban szereplő, valamint a további ismert módon kihasznált sebezhetőségeket megszüntető biztonsági frissítések telepítését!
- Az adathalászat mérséklése érdekében vezessenek be többtényezős hitelesítést minden olyan rendszer esetében, ahol ez műszakilag lehetséges. Minden felhasználói fiók esetében írják elő az erős, egyedi jelszavak alkalmazását, és kényszerítsék ki a jelszavak azonnali megváltoztatását, amennyiben a fiókkompromittálódás gyanúja merülne fel!
- Tiltsák a nem használt hálózati portokat és protokollokat a határvédelmi eszközökön!
- Cseréljék azon eszközöket, amelyek életciklusuk végéhez értek, azaz már nem részesülnek gyártói támogatásban!
- Kezdjék el bevezetni a zéró bizalom elven alapuló (Zero Trust) biztonsági modellt!
- Az Internet felől elérhető rendszereken alkalmazzanak részletes naplózást, és valósítsanak meg folyamatos anomáliadetektálást!
A szabadon terjeszthető (TLP:WHITE) biztonsági közlemény letölthető pdf formátumban.