La compañía de ciberseguridad FireEye revelo el 08 de diciembre del 2020 en su Blog que recientemente fueron atacados por un actor malicioso, que aparentemente fue particionado por un estado.
“Este ataque es diferente a las decenas de miles de incidentes a los que hemos respondido a lo largo de los años. Los atacantes adaptaron sus capacidades de clase mundial específicamente para apuntar y atacar a FireEye. Están altamente capacitados en seguridad operacional y se ejecutan con disciplina y enfoque. Operaron clandestinamente, utilizando métodos que contrarrestan las herramientas de seguridad y el examen forense. Utilizaron una combinación novedosa de técnicas que no habíamos visto nosotros ni nuestros socios en el pasado” informo FireEye en su Bloq.
En la investigación se detectó que accedieron a ciertas herramientas de Red Team, que se utiliza para evaluar la seguridad de sus clientes. Por esa razón se han desarrollado más de 300 contramedidas para que la comunidad pueda utilizarlas a fin de minimizar el impacto potencial del robo de estas herramientas.
FireEye disponibiliza para la comunidad y acceso público contramedidas en su repositorio FireEye GitHub
https://github.com/fireeye/red_team_tool_countermeasures
Lista priorizada de CVE que deben abordarse para limitar la efectividad de las herramientas de Red Team.
- CVE-2019-11510 : lectura de archivos arbitrarios previa a la autenticación de las VPN SSL de Pulse Secure – CVSS 10.0
- CVE-2020-1472 – Escalada de privilegios de Microsoft Active Directory – CVSS 10.0
- CVE-2018-13379 : lectura de archivos arbitrarios de autenticación previa desde Fortinet Fortigate SSL VPN – CVSS 9.8
- CVE-2018-15961 – RCE a través de Adobe ColdFusion (carga de archivo arbitrario que se puede usar para cargar un shell web JSP) – CVSS 9.8
- CVE-2019-0604 – RCE para Microsoft Sharepoint – CVSS 9.8
- CVE-2019-0708 – RCE de los servicios de escritorio remoto de Windows (RDS) – CVSS 9.8
- CVE-2019-11580 – Ejecución remota de código de Atlassian Crowd – CVSS 9.8
- CVE-2019-19781 : RCE de Citrix Application Delivery Controller y Citrix Gateway: CVSS 9.8
- CVE-2020-10189 – RCE para ZoHo ManageEngine Desktop Central – CVSS 9.8
- CVE-2014-1812 – Escalamiento de privilegios locales de Windows – CVSS 9.0
- CVE-2019-3398 – Ejecución remota de código autenticado por Confluence – CVSS 8.8
- CVE-2020-0688 – Ejecución remota de comandos en Microsoft Exchange – CVSS 8.8
- CVE-2016-0167 : escalamiento de privilegios local en versiones anteriores de Microsoft Windows – CVSS 7.8
- CVE-2017-11774 – RCE en Microsoft Outlook a través de la ejecución de documentos diseñados (phishing) – CVSS 7.8
- CVE-2018-8581 – Escalada de privilegios de Microsoft Exchange Server – CVSS 7.4
- CVE-2019-8394 : carga arbitraria de archivos de autorización previa a ZoHo ManageEngine ServiceDesk Plus – CVSS 6.5
