NSA เผย 25 ช่องโหว่ที่ถูกใช้มากที่สุดโดยแฮ็คเกอร์ชาวจีนซึ่งได้รับการสนับสนุนจากภาครัฐ

U.S. National Security Agency หรือ NSA ได้ออกมาแจ้งเตือนถึงช่องโหว่ 25 รายการที่ถูกใช้งานมากที่สุดโดยแฮ็คเกอร์ชาวจีนที่ได้รับการสนับสนุนจากระดับภาครัฐ เพื่อใช้โจมตีหน่วยงานต่างๆ ของสหรัฐอเมริกา โดยช่องโหว่ที่หลากหลายเหล่านี้ถูกใช้งานในลำดับขั้นของการโจมตีที่แตกต่างกันออกไป ดังนี้

Credit: ShutterStock.com
  • CVE-2019-11510 In Pulse Secure VPNs, ® 7 an unauthenticated remote attacker can send a specially crafted URI to perform an arbitrary file reading vulnerability. This may lead to exposure of keys or passwords.
  • CVE-2020-5902 In F5 BIG-IP® 8 proxy / load balancer devices, the Traffic Management User Interface (TMUI) – also referred to as the Configuration utility – has a Remote Code Execution (RCE) vulnerability in undisclosed pages.
  • CVE-2019-19781 An issue was discovered in Citrix® 9 Application Delivery Controller (ADC) and Gateway. They allow directory traversal, which can lead to remote code execution without credentials.
  • CVE-2020-8193 CVE-2020-8195 CVE-2020-8196 Improper access control and input validation, in Citrix® ADC and Citrix® Gateway and Citrix® SDWAN WAN-OP, allows unauthenticated access to certain URL endpoints and information disclosure to low-privileged users.
  • CVE-2019-0708 A remote code execution vulnerability exists within Remote Desktop Services®10 when an unauthenticated attacker connects to the target system using RDP and sends specially crafted requests.
  • CVE-2020-15505 A remote code execution vulnerability in the MobileIron®13 mobile device management (MDM) software that allows remote attackers to execute arbitrary code via unspecified vectors.
  • CVE-2020-1350 A remote code execution vulnerability exists in Windows® Domain Name System servers when they fail to properly handle requests.
  • CVE-2020-1472 An elevation of privilege vulnerability exists when an attacker establishes a vulnerable Netlogon secure channel connection to a domain controller, using the Netlogon Remote Protocol (MS-NRPC), aka ‘Netlogon Elevation of Privilege Vulnerability’.
  • CVE-2019-1040 A tampering vulnerability exists in Microsoft Windows® when a man-in-the-middle attacker is able to successfully bypass the NTLM MIC (Message Integrity Check) protection.
  • CVE-2018-6789 Sending a handcrafted message to Exim mail transfer agent may cause a buffer overflow. This can be used to execute code remotely.
  • CVE-2020-0688 A Microsoft Exchange® validation key remote code execution vulnerability exists when the software fails to properly handle objects in memory.
  • CVE-2018-4939 Certain Adobe ColdFusion®14 versions have an exploitable Deserialization of Untrusted Data vulnerability. Successful exploitation could lead to arbitrary code execution.
  • CVE-2015-4852 The WLS Security component in Oracle WebLogic®15 Server allows remote attackers to execute arbitrary commands via a crafted serialized Java®16 object.
  • CVE-2020-2555 A vulnerability exists in the Oracle® Coherence product of Oracle Fusion® Middleware. This easily exploitable vulnerability allows unauthenticated attacker with network access via T3 to compromise Oracle® Coherence.
  • CVE-2019-3396 The Widget Connector macro in Atlassian Confluence®17 Server allows remote attackers to achieve path traversal and remote code execution on a Confluence® Server or Data Center instance via server-side template injection.
  • CVE-2019-11580 Attackers who can send requests to an Atlassian® Crowd or Crowd Data Center instance can exploit this vulnerability to install arbitrary plugins, which permits remote code execution.
  • CVE-2020-10189 Zoho ManageEngine®18 Desktop Central allows remote code execution because of deserialization of untrusted data.
  • CVE-2019-18935 Progress Telerik®19 UI for ASP.NET AJAX contains a .NET deserialization vulnerability. Exploitation can result in remote code execution.
  • CVE-2020-0601 A spoofing vulnerability exists in the way Windows® CryptoAPI (Crypt32.dll) validates Elliptic Curve Cryptography (ECC) certificates. An attacker could exploit the vulnerability by using a spoofed code-signing certificate to sign a malicious executable, making it appear that the file was from a trusted, legitimate source.
  • CVE-2019-0803 An elevation of privilege vulnerability exists in Windows® when the Win32k component fails to properly handle objects in memory.
  • CVE-2017-6327 The Symantec®22 Messaging Gateway can encounter a remote code execution issue.
  • CVE-2020-3118 A vulnerability in the Cisco® Discovery Protocol implementation for Cisco IOS®23 XR Software could allow an unauthenticated, adjacent attacker to execute arbitrary code or cause a reload on an affected device.
  • CVE-2020-8515 DrayTek Vigor®24 devices allow remote code execution as root (without authentication) via shell metacharacters.

สำหรับเอกสารฉบับเต็ม สามารถศึกษาได้ที่ https://media.defense.gov/2020/Oct/20/2002519884/-1/-1/0/CSA_CHINESE_EXPLOIT_VULNERABILITIES_UOO179811.PDF โดยจะมีทั้งลิงค์เชื่อมไปยังรายละเอียดของแต่ละช่องโหว่ พร้อมรายการเอกสารที่ระบุถึงวิธีการแก้ไขป้องกันตนเองจากช่องโหว่เหล่านี้

สำหรับธุรกิจองค์กรองค์กรไทย แนวโน้มเหล่านี้ก็เองก็ถือว่าต้องจับตามองไว้ และต้องรีบปกป้องตัวเองให้ดีก่อนที่ปัญหาจะเกิดครับ

ที่มา: https://www.bleepingcomputer.com/news/security/nsa-top-25-vulnerabilities-actively-abused-by-chinese-hackers/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video] Yip In Tsoi x VMware ตอบโจทย์ธุรกิจองค์กรด้วยโซลูชัน Hybrid Cloud จาก VMware

ด้วยประสบการณ์ของธุรกิจ IT สำหรับภาคธุรกิจองค์กรไทยยาวนานกว่า 60 ปี Yip In Tsoi พร้อมให้บริการโซลูชัน Hybrid Cloud จาก VMware เพื่อช่วยให้ธุรกิจองค์กรไทยสามารถเดินหน้าต่อไปได้ท่ามกลางความเปลี่ยนแปลงที่เกิดขึ้นอย่างรวดเร็วได้อย่างยืดหยุ่น ในฐานะพันธมิตรของ VMware กว่า 12 ปี และมีทีมงานวิศวกรผู้เชี่ยวชาญกว่า 500 คน

พบช่องโหว่ร้ายแรงบน Zyxel Firewall แนะผู้ใช้งานเร่งอัปเดต

ช่องโหว่หมายเลข cve-2022-30525 นี้ถูกค้นพบโดยทีมงาน Rapid 7 ซึ่งปัจจุบันได้กลายเป็นโมดูลใน Metasploit แล้ว ดังนั้นผู้ใช้งานเร่งอัปเดตกันด้วยครับ