Внимательно читать! Про недавнюю атаку на компании через софт SolarWinds Orion я уже писал, что новую атаку сложно обнаружить, потому что она использует легитимные сервера SolarWinds, которые были тоже взломаны. И FireEye на сегодня единственная компания, которая обнаружила эту атаку на саму себя.
Их служба безопасности выпустила сигнатуру, которую нужно загрузить в свое средство защиты: IPS или NGFW. Сигнатура в формате SNORT: https://github.com/fireeye/sunburst_countermeasures/blob/main/rules/SUNBURST/snort/Backdoor.SUNBURST_2.rules
Например, можно загрузить в Palo Alto Networks NGFW через Panorama SNORT и Suricata Plugin.
FireEye выложила на GitHub также список тех продуктов, которые они атаковали своими утилитами и он под угрозой. В основном надо быть осторожным тем, у кого Pulse и Fortigate SSL VPN, Microsoft RDP, Exchange и Outlook и также Citrix ADC и Gateway, Zoho ServiceDesk.
Проблема с патчами очень актуальна - обычно ИТ администраторы не обновляют свои VPN шлюзы, что уж тут говорить про остальной софт.
Вот полный список уязвимостей, которые будут атаковать утилитами FireEye:
Index | CVE | Description | CVSS |
---|---|---|---|
1 | CVE-2019-11510 | Pre-auth arbitrary file reading from Pulse Secure SSL VPNs | 10.0 |
2 | CVE-2020-1472 | Microsoft Active Directory escalation of privileges | 10.0 |
3 | CVE-2018-13379 | Pre-auth arbitrary file reading from Fortinet Fortigate SSL VPN | 9.8 |
4 | CVE-2018-15961 | RCE via Adobe ColdFusion (arbitrary file upload that can be used to upload a JSP web shell) | 9.8 |
5 | CVE-2019-0604 | RCE for Microsoft Sharepoint | 9.8 |
6 | CVE-2019-0708 | RCE of Windows Remote Desktop Services (RDS) | 9.8 |
7 | CVE-2019-11580 | Atlassian Crowd Remote Code Execution | 9.8 |
8 | CVE-2019-19781 | RCE of Citrix Application Delivery Controller and Citrix Gateway | 9.8 |
9 | CVE-2020-10189 | RCE for ZoHo ManageEngine Desktop Central | 9.8 |
10 | CVE-2014-1812 | Windows Local Privilege Escalation | 9.0 |
11 | CVE-2019-3398 | Confluence Authenticated Remote Code Execution | 8.8 |
12 | CVE-2020-0688 | Remote Command Execution in Microsoft Exchange | 8.8 |
13 | CVE-2016-0167 | local privilege escalation on older versions of Microsoft Windows | 7.8 |
14 | CVE-2017-11774 | RCE in Microsoft Outlook via crafted document execution (phishing) | 7.8 |
15 | CVE-2018-8581 | Microsoft Exchange Server escalation of privileges | 7.4 |
16 | CVE-2019-8394 | Arbitrary pre-auth file upload to ZoHo ManageEngine ServiceDesk Plus | 6.5 |