понедельник, 14 декабря 2020 г.

Сигнатура от FireEye для обнаружения Solorigate и SunBurst

Внимательно читать! Про недавнюю атаку на компании через софт SolarWinds Orion я уже писал, что новую атаку сложно обнаружить, потому что она использует легитимные сервера SolarWinds, которые были тоже взломаны. И FireEye на сегодня единственная компания, которая обнаружила эту атаку на саму себя. 


Их служба безопасности выпустила сигнатуру, которую нужно загрузить в свое средство защиты: IPS или NGFW. Сигнатура в формате SNORT: https://github.com/fireeye/sunburst_countermeasures/blob/main/rules/SUNBURST/snort/Backdoor.SUNBURST_2.rules

Например, можно загрузить в Palo Alto Networks NGFW через Panorama SNORT и Suricata Plugin.

FireEye выложила на GitHub также список тех продуктов, которые они атаковали своими утилитами и он под угрозой. В основном надо быть осторожным тем, у кого Pulse и Fortigate SSL VPN, Microsoft RDP, Exchange и Outlook и также Citrix ADC и Gateway, Zoho ServiceDesk. 

Проблема с патчами очень актуальна - обычно ИТ администраторы не обновляют свои VPN шлюзы, что уж тут говорить про остальной софт.

Вот полный список уязвимостей, которые будут атаковать утилитами FireEye:

IndexCVEDescriptionCVSS
1CVE-2019-11510Pre-auth arbitrary file reading from Pulse Secure SSL VPNs10.0
2CVE-2020-1472Microsoft Active Directory escalation of privileges10.0
3CVE-2018-13379Pre-auth arbitrary file reading from Fortinet Fortigate SSL VPN9.8
4CVE-2018-15961RCE via Adobe ColdFusion (arbitrary file upload that can be used to upload a JSP web shell)9.8
5CVE-2019-0604RCE for Microsoft Sharepoint9.8
6CVE-2019-0708RCE of Windows Remote Desktop Services (RDS)9.8
7CVE-2019-11580Atlassian Crowd Remote Code Execution9.8
8CVE-2019-19781RCE of Citrix Application Delivery Controller and Citrix Gateway9.8
9CVE-2020-10189RCE for ZoHo ManageEngine Desktop Central9.8
10CVE-2014-1812Windows Local Privilege Escalation9.0
11CVE-2019-3398Confluence Authenticated Remote Code Execution8.8
12CVE-2020-0688Remote Command Execution in Microsoft Exchange8.8
13CVE-2016-0167local privilege escalation on older versions of Microsoft Windows7.8
14CVE-2017-11774RCE in Microsoft Outlook via crafted document execution (phishing)7.8
15CVE-2018-8581Microsoft Exchange Server escalation of privileges7.4
16CVE-2019-8394Arbitrary pre-auth file upload to ZoHo ManageEngine ServiceDesk Plus6.5