美国国家安全局(NSA)发布报告,公布了中国黑客在野外攻击中使用的25个漏洞,其中包括已经修复的知名漏洞。公开列表中的大部分漏洞都是公开的,因此经常被黑客利用。通过这些漏洞,黑客可以获得对目标网络的初始访问权限。直接从Internet访问的系统受到很大影响,例如防火墙和网关。除了对这一系列漏洞进行详细描述外,报告还提出了缓解措施。美国机构建议政府部门和企业积极应对这些漏洞,以降低敏感信息丢失的风险。具体公布的漏洞列表包括:1)CVE-2019-11510-在PulseSecure服务器上,未经身份验证的远程攻击者可以发送特制的URI来执行任意文件读取漏洞。这可能会导致密钥或密码泄露。2)CVE-2020-5902-在F5BIG-IP代理和负载均衡器上,流量管理用户界面(TMUI)(也称为配置实用程序)在未记录的页面中存在远程代码执行(RCE)漏洞。3)CVE-2019-19781-CitrixApplicationDeliveryController(ADC)和网关系统容易受到目录遍历漏洞的影响。这可能会导致在没有凭据的情况下远程执行代码。4、5、6)CVE-2020-8193、CVE-2020-8195、CVE-2020-8196-另一组CitrixADC和网关漏洞。这些漏洞还会影响SDWANWAN-OP系统。这三个漏洞允许未经身份验证的用户访问某些URL端点并将信息泄露给低权限用户。7)CVE-2019-0708(又名BlueKeep)-Windows操作系统远程桌面服务中的远程代码执行漏洞。8)CVE-2020-1350-MobileIron移动设备管理(MDM)软件中的远程代码执行漏洞,允许远程攻击者执行任意代码并接管远程公司服务器。9)CVE-2020-1350(又名SIGRed)-当Windows域名系统服务器无法正确处理请求时,存在远程代码执行漏洞。10)CVE-2020-1472(又名Netlogon)-当攻击者使用Netlogon远程协议(MS-NRPC)与域控制器的易受攻击的Netlogon安全通道建立连接时,存在特权提升漏洞。11)CVE-2019-1040-MicrosoftWindows篡改漏洞,当中间人攻击者成功绕过NTLMMIC(消息完整性检查)保护时可以利用该漏洞。12)CVE-2018-6789-向Exim邮件传输代理发送精心制作的消息可能会导致缓冲区溢出。这可用于远程执行代码并接管电子邮件服务器。13)CVE-2020-0688-MicrosoftExchange软件无法正确处理内存中的对象时,存在远程代码执行漏洞。14)CVE-2018-4939-某些版本的Adob??eColdFusion存在可利用的不可信数据反序列化漏洞。成功利用可能导致任意代码执行。15)CVE-2015-4852-OracleWebLogic15Server中的WLS安全组件允许远程攻击者通过精心设计的序列化Java对象执行任意命令。16)CVE-2020-2555-OracleFusion中间件的Coherence产品中存在漏洞。这个易于利用的漏洞允许未经身份验证的攻击者通过T3访问网络来破坏OracleCoherence系统。17)CVE-2019-3396-AtlassianConfluence17Server中的WidgetConnector宏允许远程攻击者通过服务器端模板注入在ConfluenceServer或数据中心实例上实现路径遍历和远程代码执行。18)CVE-2019-11580-能够向AtlassianCrowd或CrowdDataCenter实例发送请求的攻击者可以利用此漏洞安装任意插件,从而允许远程执行代码。19)CVE-2020-10189-ZohoManageEngineDesktopCentral由于反序列化不受信任的数据而允许远程代码执行。20)CVE-2019-18935-ASP.NETAJAX的ProgressTelerikUI包含一个.NET反序列化漏洞。利用此漏洞可能导致远程代码执行。21)CVE-2020-0601(又名CurveBall)-WindowsCryptoAPI(Crypt32.dll)验证椭圆曲线加密(ECC)证书的方式中存在欺骗漏洞。攻击者可以通过使用欺骗性代码签名证书对恶意可执行文件进行签名来利用此漏洞,从而使该文件看似来自受信任的合法来源。22)CVE-2019-0803-Windows存在提权漏洞,Win32k组件无法正确处理内存中的对象。23)CVE-2017-6327-SymantecMessagingGateway可能会遇到远程代码执行。24)CVE-2020-3118-CiscoIOSXR软件的CiscoDiscoveryProtocol实现中的漏洞可能允许未经身份验证的相邻攻击者执行任意代码,或导致设备重启。25)CVE-2020-8515-DrayTekVigor设备允许通过shell元字符以root身份(无需身份验证)远程执行代码。
