16/04/21
Агентство национальной безопасности США, Агентство по кибербезопасности и безопасности инфраструктуры и Федеральное бюро расследований представили список из пяти уязвимостей, по их словам, эксплуатирующихся «русскими хакерами» в атаках на американские организации.
Как сообщает АНБ, злоумышленники используют эти уязвимости в общественных сервисах с целью похищения учетных данных для дальнейшей компрометации компьютерных сетей американских компаний и правительственных учреждений. В связи с этим агентство настоятельно рекомендовало всем организациям незамедлительно установить исправления на уязвимые устройства во избежание возможных утечек данных, банковского мошенничества и атак программ-вымогателей.
В представленный американскими спецслужбами список входят следующие уязвимости:
CVE-2018-13379 : уязвимость в версиях Fortinet FortiOS с 6.0.0 по 6.0.4, с 5.6.3 по 5.6.7 и с 5.4.6 по 5.4.12. Некорректное ограничение пути к Restricted Directory (обход каталога) в web-порталах Fortinet Secure Sockets Layer (SSL) Virtual Private Network (VPN) позволяет неавторизованному злоумышленнику загружать системные файлы с помощью особым образом сконфигурированных HTTP-запросов ресурсов.
Хакеры активно эксплуатируют эту уязвимость в атаках на правительственные и корпоративные сети, в том числе на электронные системы для голосования, организации, проводящие исследования COVID-19, а также для установки вымогательского ПО Cring. В ноябре прошлого года учетные данные почти 50 тыс. пользователей Fortinet VPN были выставлены на продажу на хакерском форуме.
CVE-2019-9670: уязвимость в версиях Synacor Zimbra Collaboration Suite 8.7.x до 8.7.11p10. Инъекция внешних сущностей XML (XML External Entity injection, XXE) в компоненте mailboxd. Группировка APT29 использует ее в атаках на организации, занимающиеся разработкой вакцин против COVID-19.
CVE-2019-11510: уязвимость в версиях Pulse Connect Secure (PCS) 8.2 до 8.2R12.1, 8.3 до 8.3R7.1 и 9.0 до 9.0R3.4. С ее помощью удаленный неавторизованный злоумышленник может отправлять особым образом сконфигурированный URI для выполнения чтения произвольного файла.
Уязвимые установки Pulse Secure VPN давно являются излюбленной мишенью для хакеров. В частности, они использовались для получения доступа к сетям правительства США и больниц с целью развертывания в них вымогательского ПО.
CVE-2019-19781 : уязвимость обхода каталога в версиях Citrix ADC и Gateway до 13.0.47.24, 12.1.55.18, 12.0.63.13, 11.1.63.15 и 10.5.70.12, а также в SD-WAN WANOP 4000-WO, 4100-WO, 5000-WO и версиях 5100-WO до 10.2.6b и 11.0.3b.
Уязвимость эксплуатируется киберпреступниками, в том числе операторами вымогательского ПО, для получения доступа к корпоративным сетям и развертывания в них вредоносных программ. Группировка APT29 использует ее в атаках на организации, занимающиеся разработкой вакцин против COVID-19.
CVE-2020-4006 : уязвимость внедрения команд в версиях VMware One Access 20.01 и 20.10 для Linux, VMware Identity Manager 3.3.1 - 3.3.3 для Linux, VMware Identity Manager Connector 3.3.1 - 3.3.3 и 19.03, VMware Cloud Foundation 4.0 - 4.1 и VMware Vrealize Suite Lifecycle Manager 8.x.
В декабре прошлого года власти США предупреждали об эксплуатации данной уязвимости «русскими хакерами» для развертывания web-оболочек на уязвимых серверах и похищения данных.
