एजेंसियों, पिछले वर्ष लक्षित अधिकांश शीर्ष कमजोरियों का खुलासा पिछले दो वर्षों में किया गया था संयुक्त राज्य अमेरिका, यूनाइटेड किंगडम और ऑस्ट्रेलिया से माइक्रोसॉफ्ट ऑफिस सीवीई डेटिंग के साथ कहा गया है 2017.
यूएस साइबर सिक्योरिटी और के अनुसार, 2021 में लगभग सात महीनों के अंत में, 30 सबसे अधिक शोषित कमजोरियों में से एक 2017 की है। इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (सीआईएसए), ऑस्ट्रेलियाई साइबर सुरक्षा केंद्र (एसीएससी), यूनाइटेड किंगडम का राष्ट्रीय साइबर सुरक्षा केंद्र (एनसीएससी), और यूएस एफबीआई.
CVE-2017-11882 संदिग्ध सम्मान का धारक है, और यह Microsoft Office के समीकरण संपादक में स्टैक बफर ओवरफ़्लो के कारण है, जिससे रिमोट कोड निष्पादन (RCE) हो सकता है। यह विक्रेताओं का शोषण है ज़ोर की आवाज लगभग वर्षों से।
एजेंसियों की चौकड़ी ने बुधवार को कहा कि इस छेद और सूचीबद्ध 29 अन्य छेदों को ठीक करने का सबसे आसान तरीका सिस्टम को पैच करना होगा।
"साइबर अभिनेता दुनिया भर में सार्वजनिक और निजी क्षेत्र के संगठनों सहित व्यापक लक्ष्य सेटों के खिलाफ सार्वजनिक रूप से ज्ञात - और अक्सर पुरानी - सॉफ़्टवेयर कमजोरियों का फायदा उठाना जारी रखते हैं। हालाँकि, दुनिया भर की संस्थाएँ कमजोरियों को कम कर सकती हैं... उपलब्ध पैच को अपने सिस्टम में लागू करके और एक केंद्रीकृत पैच प्रबंधन प्रणाली को लागू करके," चौकड़ी ने कहा।
"दुर्भावनापूर्ण साइबर अभिनेता संभवतः पुरानी ज्ञात कमजोरियों का उपयोग करना जारी रखेंगे, जैसे कि CVE-2017-11882 Microsoft Office को प्रभावित करते हैं, जब तक वे प्रभावी रहते हैं और सिस्टम अप्रकाशित रहते हैं। विरोधियों द्वारा ज्ञात कमजोरियों का उपयोग आरोपण को जटिल बनाता है, लागत कम करता है और जोखिम को कम करता है क्योंकि वे अपने विशिष्ट उपयोग के लिए शून्य-दिवसीय शोषण विकसित करने में निवेश नहीं कर रहे हैं, जिसके बन जाने पर उन्हें खोने का जोखिम है ज्ञात।"
शीर्ष 30 सूची को 2020 और उससे पहले के 14 ऐतिहासिक सीवीई और चालू वर्ष से 16 में विभाजित किया गया है।
ऐतिहासिक कमजोरियों की सूची का नेतृत्व क्लाउड, रिमोट कार्य या वीपीएन से संबंधित चार सीवीई द्वारा किया जाता है।
एजेंसियों ने कहा, "2020 के दौरान कई वीपीएन गेटवे डिवाइस अप्रकाशित रहे, दूरस्थ कार्य विकल्पों की वृद्धि ने संगठन की कठोर पैच प्रबंधन करने की क्षमता को चुनौती दी।"
पैचिंग के साथ-साथ, एजेंसियों ने कहा कि सर्वोत्तम अभ्यास में ऑस्ट्रेलिया का पालन करना शामिल है आवश्यक आठ शमन रणनीतियाँ.
ऐतिहासिक कमजोरियाँ
सिट्रिक्स: सीवीई-2019-19781
ऐतिहासिक सूची में शीर्ष पर है सिट्रिक्स नेटस्केलर आरसीई जो 2019 में क्रिसमस पर दिखाई दिया। इसे ऑस्ट्रेलिया के लिए घरेलू मैदान के करीब पहुंचना चाहिए जैसा कि पहले हुआ करता था रक्षा भर्ती डेटाबेस तक पहुँचें.
पल्स: सीवीई-2019-11510
रजत पदक लेना एक है पल्स सिक्योर कनेक्ट में निर्देशिका ट्रैवर्सल भेद्यता जिसके परिणामस्वरूप मनमाने ढंग से फ़ाइल प्रकटीकरण और व्यवस्थापक क्रेडेंशियल्स लीक हो सकते हैं।
"एक बार समझौता हो जाने पर, एक हमलावर वीपीएन से जुड़ने वाले किसी भी होस्ट पर मनमानी स्क्रिप्ट चला सकता है। इससे वीपीएन से जुड़ने वाले किसी भी व्यक्ति को संभावित लक्ष्य के रूप में समझौता करना पड़ सकता है,'' एजेंसियों ने कहा।
"पल्स कनेक्ट सिक्योर वीपीएन में सीवीई-2019-11510 भेद्यता को अक्सर राष्ट्र-राज्य एपीटी द्वारा लक्षित किया गया था। अभिनेता इसका फायदा उठा सकते हैं एक समझौता किए गए पल्स वीपीएन सर्वर पर सभी उपयोगकर्ताओं के लिए अनएन्क्रिप्टेड क्रेडेंशियल चुराने और सभी के लिए अनधिकृत क्रेडेंशियल बनाए रखने की भेद्यता एक समझौता किए गए पल्स वीपीएन सर्वर पर उपयोगकर्ता और सिस्टम को पैच किए जाने के बाद अनधिकृत पहुंच बनाए रख सकते हैं जब तक कि सभी समझौता किए गए क्रेडेंशियल्स न हों बदला हुआ।"
अच्छा लगता है।
फोर्टिनेट: सीवीई-2018-13379
ए से ताजा मई चेतावनी फोर्टिनेट का डायरेक्टरी ट्रैवर्सल बग का संस्करण है जिसके कारण हमलावर उपयोगकर्ता नाम और पासवर्ड प्राप्त कर सकता है।
"कई मैलवेयर अभियानों ने इस भेद्यता का फायदा उठाया है। सबसे उल्लेखनीय क्रिंग रैनसमवेयर है (जिसे क्रिप्ट3, घोस्ट, फैंटम और वीजेएसज़ी1लो के नाम से भी जाना जाता है),' एजेंसियों ने चेतावनी दी।
F5- बड़ा आईपी: CVE-2020-5902
जब इसकी घोषणा की गई तो यह सी.वी.ई परफेक्ट 10 स्कोर किया -- तो यह बहुत बड़ी बात है. इसमें ट्रैफ़िक प्रबंधन उपयोगकर्ता इंटरफ़ेस शामिल था जो किसी भी पुराने उपयोगकर्ता को पहुंच प्रदान करता था; उन्हें मनमाने आदेशों को निष्पादित करने, फ़ाइलें बनाने या हटाने, सेवाओं को अक्षम करने, या मनमाना जावा चलाने के लिए प्रमाणित होने की आवश्यकता नहीं थी।
"इस भेद्यता के परिणामस्वरूप संपूर्ण सिस्टम समझौता हो सकता है," एजेंसियों ने इस प्रकार खतरे को कम करके आंका।
मोबाइलआयरन: सीवीई-2020-15505
क्या आप अपने MobileIron किट पर दूरस्थ रूप से कोड निष्पादित करने वाले गैर-विशेषाधिकार प्राप्त हमलावरों से परेशान हो रहे हैं? खैर, आप थे नवंबर में चेतावनी दी गई थी.
माइक्रोसॉफ्ट एक्सचेंज: सीवीई-2020-0688
माइक्रोसॉफ्ट एक्सचेंज सूची में आपका स्वागत है - हम आपकी प्रतीक्षा कर रहे थे। यह 2020 की शुरुआत से भेद्यता ऐसा इसलिए हुआ क्योंकि एक्सचेंज सर्वर एक्सचेंज कंट्रोल पैनल के लिए एक अद्वितीय क्रिप्टोग्राफ़िक कुंजी बनाने में विफल रहे इंस्टॉल समय, जिसके परिणामस्वरूप हमलावर सिस्टम के तहत कोड चलाने के लिए विकृत अनुरोधों का उपयोग करने में सक्षम हो गए प्रसंग। इस कारनामे को चलाने के लिए प्रमाणीकरण की आवश्यकता को जानने में थोड़ी सांत्वना मिल सकती है।
एटलसियन संगम: CVE-2019-3396
यदि आपको इस सूची में कई कमजोरियों का फ्लैशबैक मिल रहा है, तो इसका कारण एनएसए है लोगों को सचेत करने की कोशिश की पिछले अक्तूबर।
पथ ट्रैवर्सल और अन्य विक्रेताओं की रिमोट कोड निष्पादन हरकतों से बचे रहने के लिए नहीं, यह पुरानी एटलसियन कॉन्फ्लुएंस भेद्यता सर्वर-साइड टेम्पलेट इंजेक्शन का एक स्पर्श जोड़ती है।
हालाँकि बड़ा सवाल यह है कि क्या आपको JIRA में एक कार्य के रूप में पैच को कॉन्फ्लुएंस में लॉग इन करना होगा? इसके बारे में सोचना उचित नहीं है.
माइक्रोसॉफ्ट ऑफिस: CVE-2017-11882
यह सूची में सबसे पुराना बग है, जो समीकरण संपादक से संबंधित है, जिसका उल्लेख इस टुकड़े की शुरुआत में किया गया है। ऊपर स्क्रॉल करें।
एटलसियन क्राउड: CVE-2019-11580
हमलावर इस भेद्यता का उपयोग मनमाने ढंग से प्लगइन स्थापित करने के लिए कर सकते हैं, जिससे रिमोट कोड निष्पादन हो सकता है। एजेंसियों ने इस भेद्यता को विशेष रूप से उजागर किया।
"दुर्लभ साइबर रक्षा संसाधनों को उन कमजोरियों को दूर करने पर ध्यान केंद्रित करना जो साइबर अभिनेता अक्सर करते हैं उपयोग हमारे विरोधियों के संचालन में बाधा डालते हुए नेटवर्क सुरक्षा को मजबूत करने की क्षमता प्रदान करता है," वे कहते हैं कहा।
"उदाहरण के लिए, 2020 में राष्ट्र-राज्य एपीटी ने बड़े पैमाने पर खोजी गई एकल आरसीई भेद्यता पर भरोसा किया एटलसियन क्राउड, एक केंद्रीकृत पहचान प्रबंधन और अनुप्रयोग (CVE-2019-11580) ने अपनी रिपोर्ट में परिचालन.
"इस भेद्यता को दूर करने पर एक ठोस ध्यान केंद्रित करने से अभिनेताओं को विकल्प खोजने के लिए मजबूर करके सापेक्ष व्यापक प्रभाव पड़ सकता है, जिनकी उनके लक्ष्य निर्धारित करने के लिए समान व्यापक प्रयोज्यता नहीं हो सकती है।"
ड्रूपल: सीवीई-2018-7600
याद करना Drupalgeddon2? हुक-क्रेज़्ड ड्रूपल कोडबेस से इनपुट स्वच्छता की कमी के कारण एक अप्रमाणित हमलावर को रिमोट कोड निष्पादन प्राप्त हो सकता है।
स्वाभाविक रूप से, मोनरो माइनिंग और बॉटनेट के हिस्से के रूप में उपयोग की जाने वाली साइटों सहित मैलवेयर अभियान तेजी से चल रहे थे।
टेलरिक: सीवीई-2019-18935
ASP.NET ऐप्स द्वारा उपयोग किए जाने वाले टेलरिक फ्रेमवर्क में क्रमबद्ध इनपुट के स्वच्छता में एक छेद आरसीई का कारण बन सकता है। फिर एक बार, क्रिप्टोजैकिंग बहुत पीछे नहीं था.
माइक्रोसॉफ्ट शेयरपॉइंट: CVE-2019-0604
हाल की थीम को ध्यान में रखते हुए, शेयरप्वाइंट में स्वच्छता की कमी के कारण XML को डिसेरिएलाइज़ करते समय एक भेद्यता थी, जो दूरस्थ कोड निष्पादन का नेतृत्व करें.
माइक्रोसॉफ्ट विंडोज बैकग्राउंड इंटेलिजेंट ट्रांसफर सर्विस: CVE-2020-0787
प्रतीकात्मक लिंक को अनुचित तरीके से संभालने के कारण, एक हमलावर सिस्टम-स्तरीय विशेषाधिकारों के साथ मनमाने कोड को निष्पादित करने के लिए इस भेद्यता का उपयोग कर सकता है।
माइक्रोसॉफ्ट नेटलॉगऑन: सीवीई-2020-1472
जब घोषणा की गई, तो इसकी सूचना दी गई अब तक के सबसे गंभीर बगों में से एक, और 10 के सीवीएसएस स्कोर के साथ, यह कोई आश्चर्य की बात नहीं थी।
ज़ीरोलॉगन के रूप में भी जाना जाता है, भेद्यता एक अप्रमाणित हमलावर को एक डोमेन पर कंप्यूटर का प्रतिरूपण करने की अनुमति देती है, नेटलॉगऑन प्रमाणीकरण प्रक्रिया में सुरक्षा सुविधाओं को अक्षम करने और डोमेन प्रशासक हासिल करने की क्षमता विशेषाधिकार.
"खतरे वाले अभिनेताओं को प्रारंभिक पहुंच के लिए MobileIron CVE-2020-15505 भेद्यता को संयोजित करते हुए, फिर इसका उपयोग करते हुए देखा गया नेटलॉगऑन भेद्यता पार्श्व आंदोलन को सुविधाजनक बनाने और लक्ष्य नेटवर्क के आगे समझौता करने के लिए, "एजेंसियां कहा।
"एक राष्ट्र-राज्य एपीटी समूह को इस भेद्यता का फायदा उठाते हुए देखा गया है।"
2021 की क्लास
पिछले वर्षों की कमजोरियों की तुलना में, 2021 समूह को अच्छी तरह से एक साथ समूहीकृत किया गया है और ज्यादातर एक ही उत्पाद से संबंधित हैं, इसलिए बिना किसी अतिरिक्त हलचल के।
माइक्रोसॉफ्ट एक्सचेंज: सीवीई-2021-26855, सीवीई-2021-26857, सीवीई-2021-26858, सीवीई-2021-27065
ये कमजोरियाँ वे हैं जिनके बारे में नाटो, संयुक्त राज्य अमेरिका, यूरोपीय संघ, यूनाइटेड किंगडम, ऑस्ट्रेलिया, कनाडा, न्यूजीलैंड और जापान ने हाल ही में कहा था। चीन को जिम्मेदार ठहराया, और ये वे कारनामे थे जहां एफबीआई ने निर्णय लिया कि इसकी आवश्यकता है अमेरिकी सर्वर पर वेब शेल्स को नष्ट करें.
सीवीई-2021-26855 ने एक अप्रमाणित हमलावर को, यदि वे पोर्ट 443 से कनेक्ट हो सकते हैं, एक्सचेंज कंट्रोल पैनल के माध्यम से शोषण करने की अनुमति दी सर्वर-साइड अनुरोध जालसाजी जो उन्हें मनमाने ढंग से HTTP अनुरोध भेजने, एक्सचेंज सर्वर के रूप में प्रमाणित करने और पहुंच प्राप्त करने की अनुमति देगी मेलबॉक्स.
सीवीई-2021-26857 ने आरसीई हासिल करने के लिए असुरक्षित डिसेरिएलाइज़ेशन का उपयोग किया, जबकि अंतिम दो ने प्रमाणीकरण के बाद मनमानी फ़ाइल लिखने की भेद्यता का उपयोग किया जो आरसीई को जन्म दे सकता है।
पल्स सिक्योर: CVE-2021-22893, CVE-2021-22894, CVE-2021-22899, CVE-2021-22900
मार्च में प्रदर्शित होने वाले पहले सीवीई ने ए स्कोर किया पूरे 10 अंक एक दूरस्थ अप्रमाणित उपयोगकर्ता को मनमाना कोड निष्पादित करने में सक्षम बनाने के लिए, जबकि दूसरा और तीसरा सी.वी.ई 9.9 पर पीछे थे और दूरस्थ प्रमाणित उपयोगकर्ताओं से संबंधित थे जो मनमाने ढंग से निष्पादित करने में सक्षम थे कोड. CVE-2021-22894 के मामले में, यह रूट उपयोगकर्ता के रूप में था।
CVE-2021-22900 ने अधिक मामूली 7.2 स्कोर किया, और व्यवस्थापक वेब इंटरफ़ेस के माध्यम से अपलोड किए गए दुर्भावनापूर्ण रूप से तैयार किए गए संग्रह के लिए फ़ाइल लिखने के लिए एक प्रमाणित व्यवस्थापक से संबंधित है।
एक्सेलियन: सीवीई-2021-27101, सीवीई-2021-27102, सीवीई-2021-27103, सीवीई-2021-27104
Accelion FTA फ़ाइल स्थानांतरण सेवा के माध्यम से होने वाली हैकें लगातार आती रहती हैं, जिनमें पीड़ित भी शामिल हैं न्यूज़ीलैंड का रिज़र्व बैंक, द ऑस्ट्रेलियाई प्रतिभूति और निवेश आयोग, सिंगटेल, और दुनिया भर के कई अन्य संगठन।
फरवरी में, एक्सेलियन ने कहा कि ऐसा होगा कमजोर उत्पाद को रिटायर करें.
वीएमवेयर: सीवीई-2021-21985
हाल की भेद्यता आरसीई के लिए अनुमति देने वाले वीसेंटर सर्वर और क्लाउड फाउंडेशन को हिट करने से भी कटौती हुई। जब घोषणा की गई, तो वीएमवेयर ने चेतावनी दी कि चूंकि हमलावर को हमले का संचालन करने के लिए केवल पोर्ट 443 तक पहुंचने में सक्षम होना चाहिए, फ़ायरवॉल नियंत्रण उपयोगकर्ताओं के लिए रक्षा की अंतिम पंक्ति है।
फोर्टिनेट: सीवीई-2018-13379, सीवीई-2020-12812, सीवीई-2019-5591
यह सही है, CVE-2018-13379 ने दोनों सूचियाँ बनाईं। कैसा सम्मान है.
संबंधित कवरेज
- कासिया ने ग्राहकों से रैंसमवेयर हमले के बाद वीएसए सर्वर को तुरंत बंद करने का आग्रह किया
- माइक्रोसॉफ्ट जुलाई 2021 पैच मंगलवार: 117 कमजोरियां, Pwn2Own एक्सचेंज सर्वर बग ठीक किया गया
- तुरंत इंस्टॉल करें: Microsoft PrintNightmare सुरक्षा बग के लिए आपातकालीन पैच प्रदान करता है
- Microsoft PrintNightmare रिमोट कोड निष्पादन के लिए दूसरा CVE जोड़ता है
- माइक्रोसॉफ्ट द्वारा भेद्यता का पता चलने के बाद सोलरविंड्स ने सुरक्षा सलाह जारी की