TLP: Amber
NIVEL DE RIESGO: [Critico]
Acción Requerida: Aplicar las contramedidas publicadas por FireEye y validar la aplicación de actualizaciones de seguridad para las vulnerabilidades mencionadas.
Vector de ataque: Remoto.
Impacto: Recolección de información.

Descripción

La empresa de ciberseguridad FireEye informó recientemente que fueron atacados por un actor altamente sofisticado, inclusive se tiene la teoría que dicho ataque fue patrocinado por algún gobierno.

FireEye ya se encuentra investigando el ataque en conjunto con el “Federal Bureau of Investigation” y otras empresas tales como Microsoft. Hasta el momento se conoce que los atacantes accedieron a algunas herramientas de evaluación que el propio “Red Team” de FireEye utilizaba para comprobar la seguridad de sus clientes. Además, se cree que el ataque tiene como objetivo principal recolectar información de los clientes gubernamentales de FireEye.

Como respuesta al ataque FireEye ha desarrollado diversas reglas de detección como contramedidas con el fin de minimizar el impacto potencial del robo de sus herramientas. Es importante mencionar que dichas contramedidas se encuentran disponibles para toda la comunidad a través de un proyecto publicado en GitHub (https://github.com/fireeye/red_team_tool_countermeasures).

Dentro de las vulnerabilidades identificadas que aprovechan estas herramientas se encuentran:

  • CVE-2014-1812 – Windows Local Privilege Escalation
  • CVE-2019-0708 – RCE of Windows Remote Desktop Services (RDS)
  • CVE-2017-11774 – RCE en Microsoft Outlook via crafted document execution (phishing)
  • CVE-2018-15961 – RCE via Adobe ColdFusion (arbitrary file upload that can be used to upload a JSP web shell)
  • CVE-2019-19781 – RCE of Citrix Application Delivery Controller and Citrix Gateway
  • CVE-2019-3398 – Confluence Authenticated Remote Code Execution
  • CVE-2019-11580 – Atlassian Crowd Remote Code Execution
  • CVE-2018-13379 – pre-auth arbitrary file reading from Fortinet Fortigate SSL VPN
  • CVE-2020-0688 – Remote Command Execution in Microsoft Exchange
  • CVE-2019-11510 – pre-auth arbitrary file reading from Pulse Secure SSL VPNs
  • CVE-2019-0604 – RCE for Microsoft Sharepoint
  • CVE-2020-10189 – RCE for ZoHo ManageEngine Desktop Central
  • CVE-2019-8394 – arbitrary pre-auth file upload to ZoHo ManageEngine ServiceDesk Plus
  • CVE-2016-0167 – local privilege escalation on older versions of Microsoft Windows
  • CVE-2020-1472 – Microsoft Active Directory escalation of privileges
  • CVE-2018-8581 – Microsoft Exchange Server escalation of privileges

Nivel de riesgo

  • Critico

Medidas de Contención

Referencias