Xakep #305. Многошаговые SQL-инъекции
Аналитики ФБР и Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA), подготовили список самых эксплуатируемых уязвимостей за период с 2016 по 2019 год.
Исследователи в очередной раз призвали организации в государственном и частном секторах своевременно устанавливать необходимые патчи для предотвращения наиболее распространенных форм атак. Дело в том, что власти США уверены: массовая установка исправлений может больно ударить киберарсеналу иностранных хакеров, нацеленных на американские компании, ведь тогда взломщикам придется тратить ресурсы на разработку новых эксплоитов.
«Эксплуатация этих уязвимостей, как правило, требует намного меньше ресурсов по сравнению с эксплоитами для 0-day уязвимостей, для которых нет доступных патчей», — пишут эксперты в своем докладе.
Также аналитики CISA и ФБР отмечают следующие тенденции:
- чаще всего атакам подвергается технология Microsoft's Object Linking and Embedding (OLE), позволяющая встраивать контент из других приложений в документы Office;
- уязвимости OLE, такие как CVE-2017-11882, CVE-2017-0199 и CVE-2012-0158, чаще всего используются «правительственными» хакерами Китая, Ирана, Северной Кореи и России;
- второй наиболее уязвимой технологией был назван Apache Struts;
- наиболее используемыми уязвимостями в 2020 году стали CVE-2019-19781 (баг в Citrix VPN) и CVE-2019-11510 (баг в серверах Pulse Secure VPN);
- из-за пандемии коронавируса многие организации перешли на удаленную работу и неправильно настроили развертывание Office 365.
Что до списка 10 наиболее используемых уязвимостей 2016-2019 годов, в него вошли следующие баги: CVE-2017-11882, CVE-2017-0199, CVE-2017-5638, CVE-2012-0158, CVE-2019-0604, CVE-2017-0143, CVE-2018-4878, CVE-2017 -8759, CVE-2015-1641 и CVE-2018-7600. Подробнее об этих проблемах — ниже.
- Уязвимые продукты: Microsoft Office 2007 SP3, 2010 SP2, 2013 SP1, 2016
- Связанная малварь: Loki, FormBook, Pony/FAREIT
- Исправление: доступны обновления для уязвимых продуктов Microsoft
- Подробнее: https://nvd.nist.gov/vuln/detail/CVE-2017-11882
- Индикаторы компрометации: https://www.us-cert.gov/ncas/analysis-reports/ar20-133e.
- Уязвимые продукты: Microsoft Office 2007 SP3, 2010 SP2, 2013 SP1, 2016, Vista SP2, Server 2008 SP2, Windows 7 SP1, Windows 8.1
- Связанная малварь: FINSPY, LATENTBOT, Dridex
- Исправление: доступны обновления для уязвимых продуктов Microsoft
- Подробнее: https://nvd.nist.gov/vuln/detail/CVE-2017-0199
- Индикаторы компрометации: https://www.us-cert.gov/ncas/analysis-reports/ar20-133g, https://www.us-cert.gov/ncas/analysis-reports/ar20-133h, https: // www.us-cert.gov/ncas/analysis-reports/ar20-133p
- Уязвимые продукты: Apache Struts 2 2.3.x до 2.3.32 и 2.5.x до 2.5.10.1
- Связанная малварь: JexBoss
- Исправление: обновление до Struts 2.3.32 или Struts 2.5.10.1
- Подробнее: https://www.us-cert.gov/ncas/analysis-reports/AR18-312A, https://nvd.nist.gov/vuln/detail/CVE-2017-5638
- Уязвимые продукты: Microsoft Office 2003 SP3, 2007 SP2 и SP3 и 2010 Gold и SP1; веб-компоненты Office 2003 SP3; SQL Server 2000 SP4, 2005 SP4 и 2008 SP2, SP3 и R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2 и 2009 Gold и R2; Visual FoxPro 8.0 SP1 и 9.0 SP2; Visual Basic 6.0
- Связанная малварь: Dridex
- Исправление: доступны обновления для уязвимых продуктов Microsoft
- Подробнее: https://www.us-cert.gov/ncas/alerts/aa19-339a, https://nvd.nist.gov/vuln/detail/CVE-2012-0158
- Индикаторы компрометации: https://www.us-cert.gov/ncas/analysis-reports/ar20-133i, https://www.us-cert.gov/ncas/analysis-reports/ar20-133j, https: // www.us-cert.gov/ncas/analysis-reports/ar20-133k, https://www.us-cert.gov/ncas/analysis-reports/ar20-133l, https://www.us-cert.gov/ncas/analysis-reports/ar20-133n, https://www.us-cert.gov/ncas/analysis-reports/ar20-133o
- Уязвимые продукты: Microsoft SharePoint
- Связанная малварь: China Chopper
- Исправление: доступны обновления для уязвимых продуктов Microsoft
- Подробнее: https://nvd.nist.gov/vuln/detail/CVE-2019-0604
- Уязвимые продукты: Microsoft Windows Vista SP2; Windows Server 2008 SP2 и R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold и R2; Windows RT 8.1; и Windows 10 Gold, 1511 и 1607; Windows Server 2016
- Связанная малварь: многократное использование EternalSynergy и EternalBlue
- Исправление: доступны обновления для уязвимых продуктов Microsoft
- Подробнее: https://nvd.nist.gov/vuln/detail/CVE-2017-0143
- Уязвимые продукты: Adobe Flash Player до 28.0.0.161
- Связанная малварь: DOGCALL
- Исправление: обновление Adobe Flash Player до последней версии
- Подробнее: https://nvd.nist.gov/vuln/detail/CVE-2018-4878
- Индикаторы компрометации: https://www.us-cert.gov/ncas/analysis-reports/ar20-133d
- Уязвимые продукты: Microsoft .NET Framework 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 и 4.7
- Связанная малварь: FINSPY, FinFisher, WingBird
- Исправление: доступны обновления для уязвимых продуктов Microsoft
- Подробнее: https://nvd.nist.gov/vuln/detail/CVE-2017-8759
- Индикаторы компрометации: https://www.us-cert.gov/ncas/analysis-reports/ar20-133f
- Уязвимые продукты: Microsoft Word 2007 SP3, Office 2010 SP2, Word 2010 SP2, Word 2013 SP1, Word 2013 RT SP1, Word for Mac 2011, Office Compatibility Pack SP3, Word Automation Services на SharePoint Server 2010 SP2 и 2013 SP1, Office Web Apps Server 2010 SP2 и 2013 SP1
- Связанная малварь: Toshliph, UWarrior
- Исправление: доступны обновления для уязвимых продуктов Microsoft
- Подробнее: https://nvd.nist.gov/vuln/detail/CVE-2015-1641
- Индикаторы компрометации: https://www.us-cert.gov/ncas/analysis-reports/ar20-133m
- Уязвимые продукты: Drupal до 7.58, 8.x до 8.3.9, 8.4.x до 8.4.6 и 8.5.x до 8.5.1
- Связанная малварь: Kitty
- Исправление: обновление до последней версии ядра Drupal 7 или 8
- Подробнее: https://nvd.nist.gov/vuln/detail/CVE-2018-7600