NSA, CISA ve FBI bugün, Çin Halk Cumhuriyeti (ÇHC) tarafından desteklenen bilgisayar korsanları tarafından hükümet ve kritik altyapı ağlarını hedef almak için en çok kullanılan güvenlik açıklarını açıkladı.
Üç federal kurum ortak bir tavsiyede, Çin destekli bilgisayar korsanlarının ABD ve müttefik ağları ve teknoloji şirketlerini hassas ağlara erişmek ve fikri mülkiyeti çalmak için hedeflediğini söyledi.
“NSA, CISA ve FBI, ÇHC devlet destekli siber faaliyetleri ABD hükümeti ve sivil ağlara yönelik en büyük ve en dinamik tehditlerden biri olarak değerlendirmeye devam ediyor” diyor.
“Bu ortak CSA, federal ve eyalet, yerel, kabile ve bölgesel (SLTT) hükümetleri; Savunma Sanayi Üs Sektörü de dahil olmak üzere kritik altyapıyı ve özel sektör kuruluşlarını dikkate değer eğilimler ve kalıcı taktikler hakkında bilgilendirmek için önceki NSA, CISA ve FBI raporlarını temel alıyor. , teknikler ve prosedürler (TTP’ler).”
Danışmanlık ayrıca, Çinli tehdit aktörleri tarafından en çok yararlanılan güvenlik açıklarının her biri için önerilen azaltmaları ve savunmacıların gelen saldırı girişimlerini tespit etmesine ve engellemesine yardımcı olacak algılama yöntemlerini ve savunmasız teknolojileri bir araya getiriyor.
NSA, CISA ve FBI’a göre, aşağıdaki güvenlik açıkları 2020’den beri Çin destekli devlet bilgisayar korsanları tarafından en çok istismar edilen açıklar olmuştur.
|
SATICI |
CVE |
Güvenlik Açığı Türü |
|
Apache Log4j |
CVE-2021-44228 |
Uzaktan Kod Yürütme |
|
Darbe Bağlantısı Güvenli |
CVE-2019-11510 |
Keyfi Dosya Okuma |
|
GitLab CE/EE |
CVE-2021-22205 |
Uzaktan Kod Yürütme |
|
Atlassian |
CVE-2022-26134 |
Uzaktan Kod Yürütme |
|
Microsoft değişimi |
CVE-2021-26855 |
Uzaktan Kod Yürütme |
|
F5 Büyük IP |
CVE-2020-5902 |
Uzaktan Kod Yürütme |
|
VMware vCenter Sunucusu |
CVE-2021-22005 |
Rastgele Dosya Yükleme |
|
Citrix ADC’si |
CVE-2019-19781 |
Yol Geçişi |
|
Cisco Hiperflex |
CVE-2021-1497 |
Komut Satırı Yürütme |
|
Bufalo WSR |
CVE-2021-20090 |
Göreli Yol Geçişi |
|
Atlassian Confluence Sunucusu ve Veri Merkezi |
CVE-2021-26084 |
Uzaktan Kod Yürütme |
|
Hikvision Web sunucusu |
CVE-2021-36260 |
Komut Enjeksiyonu |
|
Sitecore XP’si |
CVE-2021-42237 |
Uzaktan Kod Yürütme |
|
F5 Büyük IP |
CVE-2022-1388 |
Uzaktan Kod Yürütme |
|
Apaçi |
CVE-2022-24112 |
Sahtekarlıkla Kimlik Doğrulama Atlaması |
|
ZOHO |
CVE-2021-40539 |
Uzaktan Kod Yürütme |
|
Microsoft |
CVE-2021-26857 |
Uzaktan Kod Yürütme |
|
Microsoft |
CVE-2021-26858 |
Uzaktan Kod Yürütme |
|
Microsoft |
CVE-2021-27065 |
Uzaktan Kod Yürütme |
|
Apache HTTP Sunucusu |
CVE-2021-41773 |
Yol Geçişi |
Etki azaltma önlemleri
NSA, CISA ve FBI ayrıca çağırdı ABD ve müttefik hükümetler, kritik altyapı ve özel sektör kuruluşları, Çin sponsorluğundaki siber saldırılara karşı savunmak için aşağıdaki hafifletme önlemlerini uygulamalıdır.
Üç federal kurum, kuruluşlara güvenlik düzeltme eklerini mümkün olan en kısa sürede uygulamalarını, mümkün olduğunda kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulama (MFA) kullanmalarını ve artık güvenlik düzeltme ekleri almayan ömrünü tamamlamış ağ altyapısını değiştirmelerini tavsiye ediyor.
Ayrıca, Sıfır Güven güvenlik modeline doğru ilerlemeyi ve saldırı girişimlerini mümkün olan en kısa sürede algılamak için internete açık hizmetlerde sağlam günlük kaydının etkinleştirilmesini önerirler.
Bugünkü ortak tavsiye, şu konularda bilgi paylaşan diğer iki kişiyi takip ediyor: taktikler, teknikler ve prosedürler (TTP’ler) Çin destekli tehdit grupları tarafından kullanılıyor (2021’de) ve saldırılarda yararlandıkları genel olarak bilinen güvenlik açıkları (2020’de).
Haziran ayında, Çin devlet bilgisayar korsanlarının tehlikeye atılmış büyük telekomünikasyon şirketleri ve ağ servis sağlayıcıları kimlik bilgilerini çalmak ve verileri toplamak için.
Salı günü, ABD Hükümeti ayrıca devlet destekli bilgisayar korsanları hakkında bir uyarı yayınladı. ABD savunma müteahhitlerinden veri çalmak özel bir CovalentStealer kötü amaçlı yazılımı ve Impacket çerçevesini kullanarak.