PSIRT ブログ

FireEye レッドチームツールの侵害

投稿者 Carl Windsor | 2020年12月16日

エグゼクティブサマリー

12月8日、サイバーセキュリティベンダーのFireEyeは、社内で開発しているレッドチームツールを含むネットワークへの侵入とデータの流出を報告しました。FireEyeは、これらのツールの詳細をGitHubのリポジトリで公開し、他のベンダーが潜在的な敵に使用されないようにするための措置を講じました。

この侵害は、国家レベルの脅威行為者に起因するものであるため、これらのツールが広く悪用されるとは思えませんが、FireEyeが提供した追加情報により、フォーティネットは、これらのツールが悪用されないことを確認することができました。

脅威の減災策

ツール内で標的として公開された脆弱性はいずれもゼロデイではなく、FortiGuard Labs は、以下の CVE に対して既存のカバレッジを適用していました。

CVE

Description

Sig ID

Coverage

CVE-2019-11510

pre-auth arbitrary file reading from Pulse Secure SSL VPNs

48342

IPS

CVE-2020-1472

Microsoft Active Directory escalation of privileges

49499

IPS

CVE-2018-13379 

pre-auth arbitrary file reading from Fortinet Fortigate SSL VPN

48321

IPS

CVE-2018-15961 

RCE via Adobe ColdFusion (arbitrary file upload that can be used to upload a JSP web shell) 


47129

IPS

CVE-2019-0604

RCE for Microsoft Sharepoint

47918

IPS

CVE-2019-0708

RCE of Windows Remote Desktop Services (RDS)

47968

IPS

CVE-2019-11580

Atlassian Crowd Remote Code Execution

48192

IPS

CVE-2019-19781

RCE of Citrix Application Delivery Controller and Citrix Gateway

48653

IPS

CVE-2020-10189

RCE for ZoHo ManageEngine Desktop Central

48794

IPS

CVE-2014-1812

Windows Local Privilege Escalation

23982

FortiClient

CVE-2019-3398 

Confluence Authenticated Remote Code Execution

47983

IPS

CVE-2020-0688 

Remote Command Execution in Microsoft Exchange

48765

IPS

CVE-2016-0167

local privilege escalation on older versions of Microsoft Windows

42285

IPS

CVE-2017-11774

RCE in Microsoft Outlook via crafted document execution (phishing)

48144

IPS

CVE-2018-8581

Microsoft Exchange Server escalation of privileges

47347

IPS

CVE-2019-8394

arbitrary pre-auth file upload to ZoHo ManageEngine ServiceDesk Plus

48988

IPS

追加の減災策

これらの脆弱性のうちの1つには、18ヶ月以上前に解決されたFortinetの脆弱性が含まれています。我々は、元のアドバイザリFG-IR-18-384/CVE-2018-13379およびこちらのブログで概説されている以前の減災策を実施することの緊急性を再確認しています。

すべての製品やアプリケーションのセキュリティ更新を監視し、そのような脆弱性が発表された場合には、特にインターネットに面したサービスに対して、直ちに対応するプロセスを用意しておくことが重要です。

このプロセスを支援するために、フォーティネットは、お客様に一ヶ月に1日、緊急のアップデートに集中していただけるように、毎月の脆弱性通知プロセスに移行しました。月例およびクリティカルアウトオブサイクルのアップデートを受け取る方法の詳細については、こちらを参照してください。

Fortinet PSIRT ポリシーの詳細および脆弱性の報告方法については、Fortinet PSIRTポリシーを参照してください。

タグ: