Chinesische Hacker zielen auf US-Regierungsbehörden und private Organisationen ab, indem sie Citrix-, F5- und Exchange-Fehler ausnutzen
In einer gemeinsamen Erklärung des FBI und der CyberSecurity and Infrastructure Agency (CISA) heißt es, dass es bestimmte Sicherheitslücken in Citrix-, F5-, Pulse- und Microsoft Exchange-Servern und -Geräten gibt, die von von China gesponserten Hackern ausgenutzt werden.
In der Erklärung heißt es, dass die böswilligen Akteure auf US-Regierung und private Unternehmen abzielen, um die anfälligen Geräte mit der Internet-Device-Engine shodan oder einer solchen Schwachstellendatenbank wie der National Vulnerabilities Database und der Common Vulnerabilities and Exposure öffentlich zugänglich zu machen.
Folgendes erklärte das KAG zusammen mit dem FBI:
„Laut einer jüngsten Anklage des US-Justizministeriums haben mit MSS verbundene Akteure verschiedene Branchen in den USA und anderen Ländern ins Visier genommen – einschließlich der High-Tech-Fertigung. Medizintechnik, Bau- und Wirtschaftsingenieurwesen; Geschäfts-, Bildungs- und Spielesoftware; Solarenergie; Pharmazeutika; und Verteidigung – in einer Kampagne, die über zehn Jahre dauerte. Diese Hacker handelten sowohl zu ihrem eigenen Vorteil als auch zum Nutzen der chinesischen MSS. “
CISA ist der nationale Risikoberater. Ziel ist es, die USA gegen die heutigen Bedrohungen zu verteidigen. Es arbeitet mit seinen Partnern zusammen, um eine sicherere und stabilere Infrastruktur für die Funktion bereitzustellen. Das Gründungsdatum des KAG ist der 16. November 2018.
Die auffälligen Mängel sind laut Agentur:
- CVE-2020-0688: Dies wird auf Microsoft Exchange Server anfällig erkannt. Hacker können diesen Fehler nutzen, um das Sammeln von E-Mails in den Zielnetzwerken zu ermöglichen
- CVE-2020-5902: Sicherheitsanfälligkeit in F5 Big-IP. Hacker können diese Sicherheitsanfälligkeit nutzen, um beliebige Systembefehle auszuführen, Dateien zu löschen oder zu erstellen, Java-Code auszuführen und / oder Dienste zu deaktivieren
- CVE-2019-11510: Diese Sicherheitsanfälligkeit im Remote-Code von Pulse Secure VPN ermöglicht es Angreifern, auf die Netzwerke der Opfer zuzugreifen.
- CVE-2019-19781: In Citrix VPN Directory Traversal Hole können Hacker Directory Traversal-Angriffe ausführen
Da Anbieter bereits jede dieser Sicherheitsanfälligkeiten beheben, können private Unternehmen und Regierungsbehörden ihre Netzwerke jetzt schützen, wenn sie die neuesten Sicherheitsupdates bereitstellen.
Hacking-Crews aus China suchen immer nach Schwachstellen, die sie nutzen könnten. Beispielsweise zielen sie auf Server mit Lücken in ihren maßgeschneiderten Webanwendungen ab. Sie missbrauchen verfügbare Fehler und andere Möglichkeiten, um Daten zu erreichen. Die Empfehlung von FBI und CISA lautet: „Organisationen überprüfen regelmäßig ihre Konfigurations- und Patch-Management-Programme, um sicherzustellen, dass sie neu auftretende Bedrohungen verfolgen und mindern können. Die Implementierung eines strengen Konfigurations- und Patch-Management-Programms wird den Betrieb anspruchsvoller Cyber-Bedrohungsakteure behindern und die Ressourcen und Informationssysteme von Organisationen schützen. “
Daher sollten private Organisationen und Regierungsbehörden das Patchen ihrer Programme und die Erkennung von Eindringlingen verlangen.