Nangungunang 10 Karaniwang Pinagsasamantalahang Mga Kahinaan at Pagkakalantad
Health-ISAC Vulnerability Bulletin
Petsa: Mayo 14, 2020
Kaganapan: Nangungunang 10 Karaniwang Pinagsasamantalahang Mga Kahinaan at Pagkakalantad (Mga CVE)
buod:
Ang alertong ito ay nagbibigay ng mga detalye sa mga kahinaan na karaniwang pinagsasamantalahan ng mga aktor ng cyber ng estado ng bansa. Maaaring lubos na bawasan ng mga organisasyon ang panganib ng mga banyagang ito sa pamamagitan ng paglalapat ng mga patch.
Noong Mayo 13, 2020, ang Cybersecurity and Infrastructure Security Agency (CISA), ang Federal Bureau of Investigation (FBI), at ang mas malawak na US Government ay naglabas ng alerto (AA20-133A) para payuhan ang mga IT security professional sa mga organisasyon ng publiko at pribadong sektor na maglagay ng mas mataas na priyoridad sa pag-patch ng pinakakaraniwang kilalang mga kahinaan na pinagsamantalahan ng mga sopistikadong dayuhang cyber actor.
Pagsusuri:
Patuloy na sinasamantala ng mga dayuhang cyber actor ang kilalang-kilala ng publiko—at kadalasang may petsang—mga kahinaan ng software laban sa malawak na target na hanay, kabilang ang mga organisasyong pampubliko at pribadong sektor, kabilang ang sektor ng pangangalagang pangkalusugan. Ang pagsasamantala sa mga kahinaang ito ay kadalasang nangangailangan ng mas kaunting mga mapagkukunan kumpara sa mga zero-day na pagsasamantala kung saan walang magagamit na mga patch.
Maaaring bawasan ng mga organisasyong miyembro ng Health-ISAC ang mga banta mula sa ilang mga sopistikadong aktor ng bansa sa pamamagitan ng mas mataas na pagsisikap na mag-patch ng mga system at magpatupad ng mga programa upang mapanatiling napapanahon ang pag-patch ng system. Ang pinagsama-samang kampanya upang i-patch ang mga kahinaan na ito ay magpapasimula ng alitan sa operational tradecraft ng mga kalaban at mapipilitan silang bumuo o makakuha ng mga pagsasamantala na mas magastos at hindi gaanong epektibo. Ang pinagsama-samang patching campaign ay magpapalakas din ng seguridad ng network sa pamamagitan ng pagtutuon ng mga kakaunting depensibong mapagkukunan sa mga naobserbahang aktibidad ng mga kalaban ng nation state. Para sa mga indicators of compromise (IOCs) at karagdagang gabay na nauugnay sa mga CVE sa Alert na ito, tingnan ang bawat entry sa loob ng seksyon ng Mitigations sa ibaba. I-click ang button sa kanan para sa PDF na bersyon ng ulat na ito.
Teknikal na Detalye:
Karamihan sa mga Pinagsamantalahang Vulnerabilities noong 2016-2019
Tinukoy ng pag-uulat ng US Government ang nangungunang 10 pinaka-pinagsasamantalahang mga kahinaan ng estado, hindi estado, at hindi nauugnay na mga aktor sa cyber mula 2016 hanggang 2019 gaya ng sumusunod: CVE-2017-11882, CVE-2017-0199, CVE-2017-5638, CVE-2012, CVE-0158 , CVE-2019-0604, CVE-2017-0143, CVE-2018-4878, CVE-2017-8759, CVE-2015-1641, at CVE-2018-7600.
- Ayon sa teknikal na pagsusuri ng US Government, ang mga malisyosong cyber actor ay kadalasang nagsasamantala sa mga kahinaan sa teknolohiya ng Object Linking and Embedding (OLE) ng Microsoft. Pinapayagan ng OLE ang mga dokumento na maglaman ng naka-embed na nilalaman mula sa iba pang mga application tulad ng mga spreadsheet. Pagkatapos ng OLE, ang pangalawang-pinaka-pinaka-ulat na madaling maapektuhang teknolohiya ay isang malawakang Web framework na kilala bilang Apache Struts.
- Sa nangungunang 10, ang tatlong mga kahinaan na pinakamadalas na ginagamit sa mga cyber actor na inisponsor ng estado mula sa China, Iran, North Korea, at Russia ay ang CVE-2017-11882, CVE-2017-0199, at CVE-2012-0158. Ang lahat ng tatlong mga kahinaan na ito ay nauugnay sa teknolohiya ng OLE ng Microsoft.
- Noong Disyembre 2019, madalas na sinasamantala ng mga aktor ng cyber ng estado ng bansa ng China ang parehong kahinaan—CVE-2012-0158 na tinasa ng publiko ng US Government noong 2015 ang pinakamaraming ginagamit sa kanilang mga cyber operation. Iminumungkahi ng trend na ito na ang mga organisasyon ay hindi pa malawak na nagpapatupad ng mga patch para sa kahinaan na ito at na ang mga aktor ng cyber ng estado ng bansa ng China ay maaaring patuloy na isama ang mga napetsahan na mga depekto sa kanilang operational tradecraft hangga't nananatiling epektibo ang mga ito.
- Ang pag-deploy ng mga patch ay madalas na nangangailangan ng mga propesyonal sa seguridad ng IT na balansehin ang pangangailangan na pagaanin ang mga kahinaan sa pangangailangan para sa pagpapanatiling tumatakbo ang mga system at pagtiyak na ang mga naka-install na patch ay tugma sa iba pang software. Maaaring mangailangan ito ng malaking puhunan ng pagsisikap, lalo na kapag pinapagaan ang maraming mga bahid nang sabay-sabay.
- Natuklasan din ng isang pag-aaral sa industriya ng US na inilabas noong unang bahagi ng 2019 na ang mga depekto na pinakamadalas na pinagsamantalahan ng mga malisyosong cyber actor ay nasa mga produkto ng Microsoft at Adobe Flash, marahil dahil sa malawakang paggamit ng mga teknolohiyang ito. Lumilitaw din ang apat sa nangungunang 10 pinaka-pinagsasamantalahang mga depekto ng pag-aaral sa industriya sa listahan ng Alert na ito, na nagha-highlight kung paano maaaring magkatugma ang mga pinagmumulan ng data ng Pamahalaan ng US at pribadong sektor upang mapahusay ang seguridad.
Karamihan sa mga Pinagsamantalahang Vulnerabilities noong 2020
Bilang karagdagan sa nangungunang 10 kahinaan mula 2016 hanggang 2019 na nakalista sa itaas, iniulat ng US Government na ang mga sumusunod na kahinaan ay regular na sinasamantala ng mga sopistikadong dayuhang cyber actor sa 2020:
- Ang mga nakakahamak na cyber actor ay lalong nagta-target ng mga hindi na-patch na kahinaan sa Virtual Private Network.
- Ang isang arbitrary na kahinaan sa pagpapatupad ng code sa mga appliances ng Citrix VPN, na kilala bilang CVE-2019-19781, ay nakita sa mga pagsasamantala sa ligaw.
- Ang isang arbitrary na kahinaan sa pagbabasa ng file sa mga server ng Pulse Secure VPN, na kilala bilang CVE-2019-11510, ay patuloy na isang kaakit-akit na target para sa mga malisyosong aktor.
- Ang Marso 2020 ay nagdala ng biglaang paglipat sa work-from-home na nangangailangan, para sa maraming organisasyon, ng mabilis na pag-deploy ng mga serbisyo sa pakikipagtulungan sa cloud, gaya ng Microsoft Office 365 (O365). Ang mga nakakahamak na cyber actor ay nagta-target ng mga organisasyon na ang pinabilis na pag-deploy ng Microsoft O365 ay maaaring humantong sa mga oversight sa mga configuration ng seguridad na bulnerable sa pag-atake.
- Ang mga kahinaan sa cybersecurity tulad ng mahinang edukasyon ng empleyado sa mga pag-atake sa social engineering at kakulangan ng system recovery at contingency plan ay patuloy na ginagawang madaling kapitan ng mga organisasyon sa mga pag-atake ng ransomware noong 2020.
- Mga Maaapektuhang Produkto: Mga Produkto ng Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016
- Kaugnay na Malware: Loki, FormBook, Pony/FAREIT
- Pagbawas: I-update ang mga apektadong produkto ng Microsoft gamit ang pinakabagong mga patch ng seguridad
- Higit pang Detalye: https://nvd.nist.gov/vuln/detail/CVE-2017-11882
- Mga IOC: https://www.us-cert.gov/ncas/analysis-reports/ar20-133e
- Mga Maaapektuhang Produkto: Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016, Vista SP2, Server 2008 SP2, Windows 7 SP1, Windows 8.1
- Kaugnay na Malware: FINSPY, LATENTBOT, Dridex
- Pagbawas: I-update ang mga apektadong produkto ng Microsoft gamit ang pinakabagong mga patch ng seguridad
- Higit pang Detalye: https://nvd.nist.gov/vuln/detail/CVE-2017-0199
- Mga IOC: https://www.us-cert.gov/ncas/analysis-reports/ar20-133g, https://www.us-cert.gov/ncas/analysis-reports/ar20-133h, https://www.us-cert.gov/ncas/analysis-reports/ar20-133p
- Mga Maaapektuhang Produkto: Apache Struts 2 2.3.x bago ang 2.3.32 at 2.5.x bago ang 2.5.10.1
- Kaugnay na Malware: JexBoss
- Pagbawas: Mag-upgrade sa Struts 2.3.32 o Struts 2.5.10.1
- Higit pang Detalye:
- https://www.us-cert.gov/ncas/analysis-reports/AR18-312A
- https://nvd.nist.gov/vuln/>detail/CVE-2017-5638
- Mga Maaapektuhang Produkto: Microsoft Office 2003 SP3, 2007 SP2 at SP3, at 2010 Gold at SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4, at 2008 SP2, SP3, at R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2, at 2009 Gold at R2; Visual FoxPro 8.0 SP1 at 9.0 SP2; at Visual Basic 6.0
- Kaugnay na Malware: Dridex
- Pagbawas: I-update ang mga apektadong produkto ng Microsoft gamit ang pinakabagong mga patch ng seguridad
- Higit pang Detalye:
- Mga IOC: https://www.us-cert.gov/ncas/analysis-reports/ar20-133i, https://www.us-cert.gov/ncas/analysis-reports/ar20-133j, https://www.us-cert.gov/ncas/analysis-reports/ar20-133k, https://www.us-cert.gov/ncas/analysis-reports/ar20-133l, https://www.us-cert.gov/ncas/analysis-reports/ar20-133n, https://www.us-cert.gov/ncas/analysis-reports/ar20-133o
- Mga Maaapektuhang Produkto: Microsoft SharePoint
- Kaugnay na Malware: China Chopper
- Pagbawas: I-update ang mga apektadong produkto ng Microsoft gamit ang pinakabagong mga patch ng seguridad
- Higit pang Detalye: https://nvd.nist.gov/vuln/detail/CVE-2019-0604
- Mga Produktong Mahina: Microsoft Windows Vista SP2; Windows Server 2008 SP2 at R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold at R2; Windows RT 8.1; at Windows 10 Gold, 1511, at 1607; at Windows Server 2016
- Kaugnay na Malware: Maramihang gumagamit ng EternalSynergy at EternalBlue Exploit Kit
- Pagbawas: I-update ang mga apektadong produkto ng Microsoft gamit ang pinakabagong mga patch ng seguridad
- Higit pang Detalye: https://nvd.nist.gov/vuln/detail/CVE-2017-0143
- Mga Maaapektuhang Produkto: Adobe Flash Player bago ang 28.0.0.161
- Kaugnay na Malware: DOGCALL
- Pagbawas: I-update ang pag-install ng Adobe Flash Player sa pinakabagong bersyon
- Higit pang Detalye: https://nvd.nist.gov/vuln/detail/CVE-2018-4878
- Mga IOC: https://www.us-cert.gov/ncas/analysis-reports/ar20-133d
- Mga Maaapektuhang Produkto: Microsoft .NET Framework 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 at 4.7
- Kaugnay na Malware: FINSPY, FinFisher, WingBird
- Pagbawas: I-update ang mga apektadong produkto ng Microsoft gamit ang pinakabagong mga patch ng seguridad
- Higit pang Detalye: https://nvd.nist.gov/vuln/detail/CVE-2017-8759
- Mga IOC: https://www.us-cert.gov/ncas/analysis-reports/ar20-133f
- Mga Maaapektuhang Produkto: Microsoft Word 2007 SP3, Office 2010 SP2, Word 2010 SP2, Word 2013 SP1, Word 2013 RT SP1, Word para sa Mac 2011, Office Compatibility Pack SP3, Word Automation Services sa SharePoint Server 2010 Web SP2 at 2013 SP1, at Office Apps Server 2010 SP2 at 2013 SP1
- Kaugnay na Malware: Toshliph, UWarrior
- Pagbawas: I-update ang mga apektadong produkto ng Microsoft gamit ang pinakabagong mga patch ng seguridad
- Higit pang Detalye: https://nvd.nist.gov/vuln/detail/CVE-2015-1641
- Mga IOC: https://www.us-cert.gov/ncas/analysis-reports/ar20-133m
- Mga Maaapektuhang Produkto: Drupal bago ang 7.58, 8.x bago ang 8.3.9, 8.4.x bago ang 8.4.6, at 8.5.x bago ang 8.5.1
- Kaugnay na Malware: Kitty
- Pagbawas: Mag-upgrade sa pinakabagong bersyon ng Drupal 7 o 8 core.
- Higit pang Detalye: https://nvd.nist.gov/vuln/detail/CVE-2018-7600
- CVE-2019-11510
- Mga Maaapektuhang Produkto: Pulse Connect Secure 9.0R1 – 9.0R3.3, 8.3R1 – 8.3R7, 8.2R1 – 8.2R12, 8.1R1 – 8.1R15 at Pulse Policy Secure 9.0R1 – 9.0R3.1, 5.4R1, 5.4R7, 5.3R1 R5.3 – 12R5.2, 1R5.2 – 12R5.1, 1R5.1 – 15RXNUMX
- Pagbabawas: I-update ang mga apektadong Pulse Secure na device gamit ang pinakabagong mga patch ng seguridad.
- Higit pang Detalye:
- Mga Maaapektuhang Produkto: Citrix Application Delivery Controller, Citrix Gateway, at Citrix SDWAN WANOP
- Pagbabawas: I-update ang mga apektadong Citrix device gamit ang pinakabagong mga patch ng seguridad
- Higit pang Detalye:
- https://www.us-cert.gov/ncas/alerts/aa20-020a
- https://www.us-cert.gov/ncas/alerts/aa20-031a
- https://www.fireeye.com/blog/products-and-services/2020/01/fireeye-and-citrix-tool-scans-for-iocs-related-to-vulnerability.html
- https://nvd.nist.gov/vuln/detail/CVE-2019-19781
- https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/
- Mga Maaapektuhang Produkto: Microsoft O365
- Pagbabawas: Sundin ang mga rekomendasyon sa seguridad ng Microsoft O365
- Higit pang Detalye: https://www.us-cert.gov/ncas/alerts/aa20-120a
- Mga Mahinang Produkto: Mga system, network, at data
- Pagbabawas: Sundin ang mga pinakamahusay na kagawian sa cybersecurity
- Higit pang Detalye: https://www.cisa.gov/cyber-essentials
- Mga Kaugnay na Mapagkukunan at Balita
- Ulat sa Banta ng Pangangalagang Pangkalusugan at Tulong Panlipunan
- Ang Agentic AI sa Pangangalagang Pangkalusugan ay Isang Mapanganib na Proposisyon
- Live@eXchange Ika-2 Araw – Health-ISAC Medical Device Security Analyst
- Health-ISAC Hacking Healthcare 6-3-2026
- Mga Bagong Kahinaan na Nakatuon sa Industriya ng Pangangalagang Pangkalusugan
- Buwanang Newsletter – Hunyo 2026
- Ang Talaga ngang Kinakailangan para Masiguro ang Pangangalagang Pangkalusugan
- Ang Imbentaryo ng Device at Pagmamapa ng PHI ang Magiging Pinakamabigat na Pagtaas Kapag Bumaba ang Bagong HIPAA
- Verizon DBIR: Nilalabanan ng Pangangalagang Pangkalusugan ang Tumaas na Pag-atake ng Social Engineering
- Ulat sa Kalagayan ng Panganib sa Cyber ng Tao
Pagbabawas:
Ang Alert na ito ay nagbibigay ng mga pagpapagaan para sa bawat isa sa mga nangungunang kahinaan na tinukoy sa itaas. Bilang karagdagan sa mga pagpapagaan na nakalista sa ibaba, inirerekomenda ng CISA, FBI, at ng mas malawak na Pamahalaan ng US na ang mga organisasyon ay lumipat palayo sa anumang end-of-life software.
Maaaring mag-ulat ang mga miyembro ng kahina-hinalang / adversarial na aktibidad sa H-ISAC Threat Operations Center (TOC) at pagsasama-samahin ng H-ISAC ang impormasyon sa isang hindi kilalang ulat na ibabahagi sa FBI sa ngalan ng sektor ng pangangalagang pangkalusugan.