0x01 新闻背景
10月20日,美国国家安全局发布的网络安全公告,详细列出了中国黑客目前正在利用的25个公开漏洞。美方认为这些恶意的网络活动由中国黑客发起,主要针对国家安全系统、国防工业基地、国防部展开攻击,并敦促受网络威胁的相关者采取漏洞修补等缓解措施。
0x02 公告详情
A. 前言
对美国国家安全系统(NSS)、美国国防工业基地(DIB)和美国国防部的信息网络产生最大威胁之一的恶意网络活动是由中国政府支持黑客发起的。这些网络恶意活动采用中国政府支持的网络行为者所使用的一整套战术和技术,入侵拥有知识产权、经济、政治和军事等敏感信息的由于这些技术包括利用公开已知的漏洞,因此网络防御者应当优先采取补丁和其他缓解措施。
黑客通常首先确定一个目标,收集有关目标的信息,确定与目标相关的任何漏洞,开发或重用漏洞利用,然后启动漏洞利用操作。
此公告提供了已知最近被利用或被执行扫描的CVE列表。下面列出的大多数漏洞均可以被利用,并可以通过把访问互联网的产品当做内部网络的网关,获得对内部网络的访问权限。这类产品大多数用于用于远程访问(T1133),或者外部web服务(T1190),应该优先考虑漏洞修补。以下是一些基本缓解措施:
1 . 在补丁发布后,尽快更新系统和产品并打补丁
2 . 数据被盗或被篡改(包括凭证、帐户和软件)不会因为打补丁而减少,因此更改密码和检查帐户是一种良好的做法
3 . 禁用外部管理功能并设置带外管理网络
4 .在网络边缘禁用过时的或未使用的协议
5 .在DMZ区隔离面向互联网的服务,以减少内部网络的暴露
6 .启用面向互联网服务的日志记录,并监视日志以发现异常迹象
B. 详细的漏洞列表和缓解措施
以下是正在被使用的CVE列表,包括漏洞的描述、建议的缓解措施:
CVE-2019-11510:
漏洞描述:存在于Pulse Secure VPN中,未经身份验证的远程攻击者可以发送特殊设计的URI来执行任意文件读取漏洞,这可能会导致密钥或密码暴露
建议指南:CSA – Mitigating Recent VPN Vulnerabilities U/OO/196888-19;CSA – Advisory – APT29 target COVID-19 research organizations U/OO/152680-20
影响:Pulse Connect Secure (PCS) 8.2 8.2R12.1之前, 8.3 8.3R7.1之前, 9.0 9.0R3.4之前版本。
缓解措施:注意,打补丁并不能解决在应用补丁之前可能丢失的凭证。NSA不鼓励使用专有的SSLVPN/TLSVPN协议,因为这些协议不符合CNSS策略。将SSLVPN/TLSVPN部署到符合IETF标准的TLS的单个应用程序上,或者部署到IKE/IPsec VPN上。最好使用经过评估的TLS软件或国家信息担保伙伴关系(NIAP)产品列表(PCL)中列出的IPsec VPN网关/客户端。
CVE-2020-5902
漏洞描述:存在于F5 BIG-IP中,代理/负载均衡器设备,流量管理用户界面(TMUI)——也称为配置实用程序——存在远程代码执行漏洞(RCE)
建议指南:CSI – Harden Network Devices U/OO/171339-16; CSI – Perform Out-of-Band Network Management U/OO/169570-20
影响:F5 BIG-IP 版本15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, 11.6.1-11.6.5.1
缓解措施:默认情况下,TMUI可以通过外部和内部管理接口访问,最好是禁用外部接口并配置带外管理网络。NSA在U/OO/171339-16、U/OO/169570-20建议书中发布了相关指导意见。
CVE-2019-19781
漏洞描述:存在于Citrix ADC和网关,允许目录遍历,导致远程代码在没有凭据的情况下执行
建议指南:CSI – Detect and Prevent Web Shell Malware U/OO/134094-20 ;CSA – Advisory – APT29 target COVID-19 research organizations U/OO/152680-20 ;CSA – Mitigate CVE-2019-19781 U/OO/103100-20
影响:Citrix ADC 和 Gateway 13.0.47.24, 12.1.55.18, 12.0.63.13, 11.1.63.15 之前版本以及10.5.70.12; SD-WAN WANOP 4000-WO, 4100-WO, 5000-WO, 5100-WO 10.2.6b 11.0.3b之前版本
CVE-2020-8193、CVE-2020-8195、CVE-2020-8196
漏洞描述:不适当的访问控制和输入验证,存在于Citrix ADC、Citrix Gateway、Citrix SDWAN WAN-OP,允许未经身份验证访问某些URL端点和向低特权用户披露信息
建议指南:CSI – Detect and Prevent Web Shell Malware U/OO/134094-20 ;CSA – Advisory – APT29 target COVID-19 research organizations U/OO/152680-20 ;CSA – Mitigate CVE-2019-19781 U/OO/103100-20
影响:Citrix ADC 和 Gateway 13.0.47.24, 12.1.55.18, 12.0.63.13, 11.1.63.15 , 10.5.70.12 之前版本; SD-WAN WANOP 4000-WO, 4100-WO, 5000-WO, 5100-WO 10.2.6b 11.0.3b之前版本
CVE-2019-0708
漏洞描述:Remote Desktop Services10存在远程代码执行漏洞,未经身份验证的攻击者可以使用RDP连接到目标系统,并发送特制的请求
建议指南:CSA – Patch Remote Desktop Services on Legacy Versions of Windows U/OO/152674-19; ORN – Outdated Software and Protocols Continue to Result in Endpoint and Network Compromise U/OO/802041-16
影响:Microsoft Windows XP – 7, Microsoft Windows Server 2003 – 2008
缓解措施:关闭TCP 3389端口,特别是针对暴露在互联网上的周边防火墙,这个端口由远程桌面协议(RDP)使用,关闭端口将阻止连接建立。如无需要,禁用远程桌面服务,禁用未使用和不需要的服务有助于减少安全漏洞的暴露,即使没有BlueKeep威胁。启用网络级身份验证,启用NLA后,攻击者首先必须对RDS进行身份验证,才能成功利用该漏洞。NLA可用于Windows 7,Windows Server 2008和Windows Server 2008 R2操作系统。
CVE-2020-15505
漏洞描述:MobileIron 移动设备管理(MDM)中的远程代码执行漏洞,允许远程攻击者通过未指定的向量执行任意代码的软件
建议指南:CSI – Update and Upgrade Software Immediately U/OO/181147-19
影响:MobileIron Core and Connector 10.6 及更早版本 Sentry 9.8 及更早版本
CVE-2020-1350
漏洞描述:Windows域名系统服务器不能正确处理请求时,存在远程代码执行漏洞
建议指南:CSA – Patch Critical Vulnerability in Windows Servers® using DNS Server Role U/OO/152726-20
影响:Microsoft Windows Server 2008 – 2019
缓解措施:保持系统和产品的更新和补丁。在无法立即更新的情况下,根据微软的建议,配置Windows DNS服务器,以限制TCP上可接受的DNS消息包的大小为65,280字节防止该漏洞被利用,(0xFF00),应用此解决方案需要重新启动DNS服务。应当尽快应用补丁,并在应用补丁后删除工作区。具体方案:启动PowerShell输入:“Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\DNS\Parameters -Name TcpReceivePacketSize -Type DWord -Value 0xFF00”。
CVE-2020-1472
漏洞描述:当攻击者建立到域控制器的易受攻击的Netlogon通道连接时,存在特权提升漏洞,使用远程协议(MS-NRPC),又名“Netlogon特权提升”。
建议指南:CSI – Update and Upgrade Software Immediately U/OO/181147-19
影响:Microsoft Windows Server 2008 – 2019
缓解措施:安装补丁并应用Microsoft KB4557222文章中的附加说明。
CVE-2019-1040
漏洞描述:Microsoft Windows 中的篡改漏洞,中间人攻击者能够成功绕过NTLM MIC(消息完整性)保护
建议指南:CSI – Update and Upgrade Software Immediately U/OO/181147-19 ;ORN – Outdated Software and Protocols Continue to Result in Endpoint and Network Compromise U/OO/802041-16
影响:Microsoft Windows 7 – 10, Microsoft Windows Server 2008 – 2019
缓解措施:尽可能地限制NTLM的使用并停止使用NTLMv1。
CVE-2018-6789
漏洞描述:向Exim邮件传输代理发送特制的消息可能会导致缓冲区溢出,可以用于远程代码执行
建议指南:CSI – Update and Upgrade Software Immediately U/OO/181147-19
影响:Exim 4.90.1之前版本。
CVE-2018-0688
漏洞描述:当Microsoft Exchange不能正确处理内存中的对象时,存在验证密钥远程代码执行漏洞
建议指南:CSI – Detect and Prevent Web Shell Malware U/OO/134094-20
影响:Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 29 以及之前版本, 2013 Cumulative Update 22 以及之前版本, 2016 Cumulative Update 13 以及之前版本, 2019 Cumulative Update 2 以及之前版本。
CVE-2018-4939
漏洞描述:Adobe ColdFusion 14版本存在可利用的反序列化漏洞数据,可能导致任意代码执行漏洞
建议指南:CSI – Update and Upgrade Software Immediately U/OO/181147-19
影响:Adobe ColdFusion (2016 release) Update 5 以及之前版本, ColdFusion 11 Update 13 以及之前版本。
CVE-2015-4852
漏洞描述:Oracle WebLogic 15中的WLS安全组件服务器允许远程攻击者通过精心设计的序列化Java 16对象实现任意命令执行漏洞
建议指南:CSI – Detect and Prevent Web Shell Malware U/OO/134094-20
影响:Oracle WebLogic Server 10.3.6.0, 12.1.2.0, 12.1.3.0, 12.2.1.0
CVE-2020-2555
漏洞描述:Oracle Fusion中间件Oracle Coherence存在的漏洞,允许未经认证的攻击者通过T3进行网络访问,从而危及Oracle一致性。
建议指南:CSI – Detect and Prevent Web Shell Malware U/OO/134094-20
影响:Oracle Coherence 3.7.1.0, 12.1.3.0.0, 12.2.1.3.0,12.2.1.4.0
CVE-2019-3396
漏洞描述:Atlassian Confluence 中的Widget Connector macro服务允许远程攻击者在Confluence服务器上实现路径遍历和远程代码执行,或者通过服务器端模板注入数据中心实例
建议指南:CSA – Patch Critical Vulnerability In Atlassian Confluence ;CSI – Detect and Prevent Web Shell Malware U/OO/134094-20
影响:Atlassian Confluence 6.6.12之前版本, 6.7.0 至 6.12.3, 6.13.0 至 6.13.3, 6.14.0 至 6.14.2。
CVE-2019-11580
漏洞描述:能够向Atlassian Crowd或Crowd数据中心实例发送请求的攻击者,可以利用此漏洞安装任意插件,允许远程代码执行
建议指南:CSI – Detect and Prevent Web Shell Malware U/OO/134094-20
影响:Atlassian Crowd 2.1.0 至 3.0.5, 3.1.0 至 3.1.6, 3.2.0 至 3.2.8, 3.3.0至 3.3.5, 3.4.0 至 3.4.4。
CVE-2020-10189
漏洞描述:通过对不可信数据的反序列化,Zoho ManageEngine Desktop Central允许远程代码执行
建议指南:CSI – Detect and Prevent Web Shell Malware U/OO/134094-20
影响:Zoho ManageEngine Desktop Central 10.0.479之前版本。
CVE-2019-18935
漏洞描述:Progress Telerik UI for ASP.NET AJAX 存在.NET反序列化漏洞,利用漏洞可能导致远程代码执行
建议指南:CSI – Detect and Prevent Web Shell Malware U/OO/134094-20
影响:Progress Telerik UI for ASP.NET AJAX 2019.3.1023
缓解措施:NSA同意Tenable’s 文档中的建议:“当加密密钥已知,由于存在CVE-2017-11317或CVE-2017-11357或其他手段,利用可能导致远程代码执行 (在2020.1.114版本中,默认设置可以防止攻击。在2019.3.1023版本中,并非更早的版本,非默认设置可以防止漏洞利用)。
CVE-2020-0601
漏洞描述:欺骗漏洞存在于Windows CryptoAPI (Crypt32.dll) 椭圆曲线加密(ECC)证书。攻击者可以利用该漏洞,使用欺骗的代码签名证书对恶意的可执行文件进行签名,伪造可信的合法来源
建议指南:CSA – Patch Critical Cryptographic Vulnerability in Microsoft Windows® Clients and Servers U/OO/104201-20
影响:Microsoft Windows 10, Server 2016 – 2019
缓解措施:此外,如果遇到可疑证书,可以使用Windows证书实用程序(certutil)和OpenSSL 21实用程序检查明确定义或非标准椭圆曲线参数的证书。
CVE-2019-0803
漏洞描述:当Win32k组件不能正确处理内存中的对象时,Windows会产生特权提升漏洞
建议指南:CSI – Update and Upgrade Software Immediately U/OO/181147-19
影响:Microsoft Windows 10, Server 2016 – 2019。
CVE-2017-6327
漏洞描述: Symantec Messaging Gateway可能会遇到远程代码执行问题
建议指南:CSI – Update and Upgrade Software Immediately U/OO/181147-19
影响:Symantec Messaging Gateway 10.6.3-267之前版本
缓解措施:在可能的情况下,以最低权限运行,以限制潜在利用。
CVE-2020-3118
漏洞描述: Cisco Discovery Protocol implementation for Cisco IOS XR允许未经身份验证的邻近攻击者执行任意代码或导致受影响设备重启
建议指南:CSI – Harden Network Devices U/OO/171339-16
影响: Cisco IOS XR 5.2.5, 6.5.2, 6.5.3, 6.6.25, 7.0.1
缓解措施:在许多设备上,Cisco Discovery Protocol是默认启用的。根据 Harden Network Devices CSI,NSA建议全局禁用该协议。要确定CDP是否启用,使用“show running-config | include cdp”命令。
CVE-2020-8515
漏洞描述: DrayTek Vigor 设备允许通过shell元字符作为根程序(无需认证)实现远程执行代码。
建议指南:CSI – Update and Upgrade Software Immediately U/OO/181147-19
影响: : Vigor2960 1.3.1_Beta, Vigor3900®1.4.4_Beta, Vigor300B1.3.3_Beta, 1.4.2.1_Beta, 1.4.4_Beta
缓解措施:在系统打补丁后,检查以确保没有额外的管理员用户或远程访问配置文件被添加,确认没有对访问控制列表进行更改。
C. 结语
美国国家安全局认为,国家安全系统、国防工业基地和国防部网络不断受到中国黑客的扫描、定位和漏洞利用。NSA建议关键系统所有者优先考虑上述,以减少可能的敏感信息的丢失,从而影响到美国在政策、战略、计划和竞争上的优势。此外,这些部门的各种系统和网络还可能受到不在本公告信息中的漏洞的影响,美国国家安全局建议优先考虑针对上述CVE采取防御措施。
0x03 资讯简评
中国国家互联网应急中心日前发布的2020年上半年中国互联网网络安全监测数据分析报告显示,中国遭受来自境外的网络攻击持续增加,美国是针对中国网络攻击的最大来源国,我国仍是全球网络攻击的主要受害者之一。
根据外交部9月29日的外交部例行记者会发布的相关内容,“中国在网络安全领域面临的一些突出挑战。首先,中国仍是网络攻击的主要受害者之一,在疫情期间遭受的网络攻击有增无减。其次,美国是针对中国网络攻击的最大来源国。从境外计算机恶意程序捕获次数、境外恶意程序控制服务器数量、境外拒绝服务攻击(DDoS)次数、向中国境内网站植入后门等多项指标看,美国都高居首位。第三,针对中国关键信息基础设施的网络侦察值得关注。中国工业控制系统的网络资产持续遭受来自境外的扫描嗅探,日均超过2万次,目标涉及境内能源、制造、通信等重点行业的联网工业控制设备和系统。”
在10月21日外交部例行记者会上,发言人赵立坚对美国国家安全局20日发表的这份安全公告声明进行回应:“作为‘棱镜计划’主要实施单位和全球最大的网络窃密机构,美国国家安全局公开指责别国从事网络窃密,这确实是一条具有讽刺意味的新闻。美国国家安全局多年来一直从事全球最大规模网络攻击和窃密行动,甚至连自己的盟友都不放过。众所周知,美在信息技术软硬件方面占据领先地位,也掌握了最多的软硬件漏洞,在利用漏洞从事网络攻击和窃密上拥有天然优势。斯诺登曾公开表示,美国国家安全局应当列入“最坏的犯罪组织之列。今年3月,360公司发布的报告表明,美国攻击组织APT-C-39曾对中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等关键领域进行了长达11年的网络渗透攻击。美国和中国谁是受害者,显而易见。谎言重复一千遍也变不成真理。美国这个‘黑客帝国’应该立即停止贼喊捉贼的把戏。”
从全球网络安全形势看,网络攻击是各国面临的共同挑战,我国一贯主张各国在相互尊重、平等互利的基础上加强对话合作,共同应对这一挑战。美国,在特朗普政府上台后,积极推行“向前防御”的网络作战思想,简化网络攻击流程,更主动地采用网络战,配合现实空间作战。从长远看,由于政治体制、国家利益和地缘竞争等因素,美国在网络空间针对伊朗、俄罗斯以及我国等国家保持进攻态势将会是一贯的、长期的。因此,我国也需要围绕大国间网络空间斗争博弈的新常态,针对美军网络作战思想和手段,预有准备,提前布局,打主动仗,以争夺网络空间国家对抗的主导权。
参考文献
http://www.cac.gov.cn/2020-09/26/c_1602682854845452.htm
http://www.xinhuanet.com/world/2020-09/29/c_1126560042.htm