Agência de Segurança Cibernética e Proteção de Infraestrutura (CISA), parte do Departamento de Segurança Interna dos EUA, e o Departamento Federal de Investigação (FBI) publicou o TOP 10 vulnerabilidades de software, mais comumente explorado em 2016-2019.
A lista inclui vulnerabilidades usadas tanto por hackers financiados pelo governo quanto por cibercriminosos civis..
“A Agência de Segurança Cibernética e de Infraestrutura (CISA), o Departamento Federal de Investigação (FBI), e os EUA. O governo está fornecendo esta orientação técnica para aconselhar os profissionais de segurança de TI em organizações dos setores público e privado a dar maior prioridade à correção das vulnerabilidades mais conhecidas, exploradas por sofisticados atores cibernéticos estrangeiros”., — diz relatório publicado.
De acordo com a CISA relatório, diferente do bug de dia zero, explorar essas vulnerabilidades requer menos recursos.
“Uma campanha acordada para corrigir estas vulnerabilidades interferiria nos métodos de trabalho dos adversários estrangeiros e forçá-los-ia a desenvolver ou adquirir explorações mais caras e menos eficazes”, - disse o relatório.
Mais frequente, as seguintes vulnerabilidades foram exploradas em ataques em 2016-2019:
- CVE-2017-11882: Presente no Microsoft Equation Formula Editor e afeta produtos do Microsoft Office. A Microsoft corrigiu isso em novembro 2017;
- CVE-2017-0199: afeta o Microsoft Office e permite a execução de código arbitrário, baixar malware e obter controle sobre o computador da vítima. A Microsoft corrigiu isso em abril 2017;
- CVE-2017-5638: Vulnerabilidade de execução de código arbitrário do Apache Struts. Oracle corrigiu isso em setembro 2017;
- CVE-2012-0158: vulnerabilidade de execução arbitrária de código no componente Microsoft ActiveX Common Control do sistema operacional Windows. A Microsoft corrigiu isso em abril 2012;
- CVE-2019-0604: Afeta o Microsoft SharePoint e foi corrigido em fevereiro 2019;
- CVE-2017-0143: Erro de confusão de tipo usado entre WriteAndX e solicitações de transação. Afeta o Microsoft Windows, foi corrigido em março 2017;
- CVE-2018-4878: vulnerabilidade de execução arbitrária de código no Adobe Flash Player. Foi corrigido em fevereiro 2018;
- CVE-2017-8759: vulnerabilidade de execução arbitrária de código no .NET Framework. Foi corrigido em setembro 2017;
- CVE-2015-1641: vulnerabilidade de execução arbitrária de código no Microsoft Windows. Foi corrigido pela Microsoft em abril 2015;
- CVE-2018-7600: Vulnerabilidade de execução de código arbitrário Drupal. Foi corrigido em março 2018.
Também me lembro disso FBI alertou sobre aumento de ataques às cadeias de abastecimento.
