FireEye紅隊評估工具失竊 遭濫用影響500萬台以上裝置

本月初FireEye遭到SolarWinds供應鏈攻擊的同一幫駭客入侵,竊走該公司模擬網路攻擊的紅隊評估工具。安全廠商Qualys本周指出,這套工具已經被用來對其他企業的連網環境發動攻擊,數百萬台裝置受到影響。

本月初FireEye遭到SolarWinds供應鏈攻擊的同一幫駭客入侵,竊走該公司模擬網路攻擊的紅隊評估工具。安全廠商Qualys本周指出,這套工具已經被用來對其他企業的連網環境發動攻擊,數百萬台裝置受到影響。

Qualys指出,從FireEye發佈消息以及SolarWinds供應攻擊曝光以來,該公司就利用雲端工具針對1.5萬家客戶環境進行監測。他們發現,有超過750萬個執行個體和FireEye被竊工具有關,散佈於529萬台不同資產(包括伺服器和電腦)。相較之下,和被植入Sunburst後門程式的SolarWinds Orion軟體有關的漏洞執行個體,在其客戶群中才只有數個百個。

FireEye 12月初公告此事時說,被竊的紅隊評估工具不包含針對零時差漏洞的工具,意謂者這些漏洞都已經有修補程式或緩解方法。

FireEye紅隊工具遭洩漏針對16項漏洞而來

FireEye工具開採了主要軟體的16項漏洞,包括Pulse Secure VPN、微軟、Fortinet、Atlassian、Citrix、Zoho及Adobe等產品。不過Qualys發現到的絕大多數(99.84%)問題執行個體,主要和微軟產品的8個中、高風險漏洞有關。只要上完修補程式應該就能大幅降低攻擊表面。

這8項漏洞包括Windows Netlogon權限升級漏洞(Zerologon)、Windows RDS遠端程式碼執行漏洞(BlueKeep)、及存在Office/Office Services、群組政策、Exchange及顯卡元件中的漏洞。微軟已經分別發佈更新版本軟體。

另一家業者Vulcan Cyber也發佈了和FireEye工具漏洞的分析報告。兩家公司,包括微軟、FireEye也都分別釋出一段時間的免費工具,或實作Sunburst(微軟稱為Solargate)的防護協助企業解決漏洞問題。

Qualys指出,這也顯示定時更新修補程式的重要性。此外,安全公司也建議企業暫時移除網路上的SolarWinds Orion 2019.4到2020.2.1 HF1版本,並且做好相關軟體和作業系統的安全控制。

FireEye報告時僅指攻擊者為國家有關的駭客組織,但美國基礎架構及網路安全署則點名犯案者為和俄羅斯政府有關的APT 29或Cozy Bear。

SolarWinds在呈報美國證管會的文件顯示,由於駭客只鎖定Orion平台下載後門程式,估計受影響的企業用戶不超過1.8萬。

來源:SecurityWeekQualys

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2021 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416