吳明宜FireEye紅隊評估工具失竊 遭濫用影響500萬台以上裝置
本月初FireEye遭到SolarWinds供應鏈攻擊的同一幫駭客入侵,竊走該公司模擬網路攻擊的紅隊評估工具。安全廠商Qualys本周指出,這套工具已經被用來對其他企業的連網環境發動攻擊,數百萬台裝置受到影響。
Qualys指出,從FireEye發佈消息以及SolarWinds供應攻擊曝光以來,該公司就利用雲端工具針對1.5萬家客戶環境進行監測。他們發現,有超過750萬個執行個體和FireEye被竊工具有關,散佈於529萬台不同資產(包括伺服器和電腦)。相較之下,和被植入Sunburst後門程式的SolarWinds Orion軟體有關的漏洞執行個體,在其客戶群中才只有數個百個。
FireEye 12月初公告此事時說,被竊的紅隊評估工具不包含針對零時差漏洞的工具,意謂者這些漏洞都已經有修補程式或緩解方法。
FireEye紅隊工具遭洩漏針對16項漏洞而來
FireEye工具開採了主要軟體的16項漏洞,包括Pulse Secure VPN、微軟、Fortinet、Atlassian、Citrix、Zoho及Adobe等產品。不過Qualys發現到的絕大多數(99.84%)問題執行個體,主要和微軟產品的8個中、高風險漏洞有關。只要上完修補程式應該就能大幅降低攻擊表面。
這8項漏洞包括Windows Netlogon權限升級漏洞(Zerologon)、Windows RDS遠端程式碼執行漏洞(BlueKeep)、及存在Office/Office Services、群組政策、Exchange及顯卡元件中的漏洞。微軟已經分別發佈更新版本軟體。
另一家業者Vulcan Cyber也發佈了和FireEye工具漏洞的分析報告。兩家公司,包括微軟、FireEye也都分別釋出一段時間的免費工具,或實作Sunburst(微軟稱為Solargate)的防護協助企業解決漏洞問題。
Qualys指出,這也顯示定時更新修補程式的重要性。此外,安全公司也建議企業暫時移除網路上的SolarWinds Orion 2019.4到2020.2.1 HF1版本,並且做好相關軟體和作業系統的安全控制。
FireEye報告時僅指攻擊者為國家有關的駭客組織,但美國基礎架構及網路安全署則點名犯案者為和俄羅斯政府有關的APT 29或Cozy Bear。
SolarWinds在呈報美國證管會的文件顯示,由於駭客只鎖定Orion平台下載後門程式,估計受影響的企業用戶不超過1.8萬。