PSIRT ブログ
FireEyeレッドチームツールの侵害
エグゼクティブサマリー
12月8日、サイバーセキュリティベンダーのFireEyeは、社内で開発しているレッドチームツールを含むネットワークへの侵入とデータの流出を報告しました。FireEyeは、これらのツールの詳細をGitHubのリポジトリで公開し、他のベンダーが潜在的な敵に使用されないようにするための措置を講じました。
この侵害は、国家レベルの脅威行為者に起因するものであるため、これらのツールが広く悪用されるとは思えませんが、FireEyeが提供した追加情報により、フォーティネットは、これらのツールが悪用されないことを確認することができました。
脅威の減災策
ツール内で標的として公開された脆弱性はいずれもゼロデイではなく、FortiGuard Labs は、以下の CVE に対して既存のカバレッジを適用していました。
|
CVE |
Description |
Sig ID |
Coverage |
|
pre-auth arbitrary file reading from Pulse Secure SSL VPNs |
IPS |
||
|
Microsoft Active Directory escalation of privileges |
IPS |
||
|
pre-auth arbitrary file reading from Fortinet Fortigate SSL VPN |
IPS |
||
|
RCE via Adobe ColdFusion (arbitrary file upload that can be used to upload a JSP web shell) |
IPS |
||
|
RCE for Microsoft Sharepoint |
IPS |
||
|
RCE of Windows Remote Desktop Services (RDS) |
IPS |
||
|
Atlassian Crowd Remote Code Execution |
IPS |
||
|
RCE of Citrix Application Delivery Controller and Citrix Gateway |
IPS |
||
|
RCE for ZoHo ManageEngine Desktop Central |
IPS |
||
|
Windows Local Privilege Escalation |
FortiClient |
||
|
Confluence Authenticated Remote Code Execution |
IPS |
||
|
Remote Command Execution in Microsoft Exchange |
IPS |
||
|
local privilege escalation on older versions of Microsoft Windows |
IPS |
||
|
RCE in Microsoft Outlook via crafted document execution (phishing) |
IPS |
||
|
Microsoft Exchange Server escalation of privileges |
IPS |
||
|
arbitrary pre-auth file upload to ZoHo ManageEngine ServiceDesk Plus |
IPS |
追加の減災策
これらの脆弱性のうちの1つには、18ヶ月以上前に解決されたFortinetの脆弱性が含まれています。我々は、元のアドバイザリFG-IR-18-384/CVE-2018-13379およびこちらのブログで概説されている以前の減災策を実施することの緊急性を再確認しています。
すべての製品やアプリケーションのセキュリティ更新を監視し、そのような脆弱性が発表された場合には、特にインターネットに面したサービスに対して、直ちに対応するプロセスを用意しておくことが重要です。
このプロセスを支援するために、フォーティネットは、お客様に一ヶ月に1日、緊急のアップデートに集中していただけるように、毎月の脆弱性通知プロセスに移行しました。月例およびクリティカルアウトオブサイクルのアップデートを受け取る方法の詳細については、こちらを参照してください。
Fortinet PSIRT ポリシーの詳細および脆弱性の報告方法については、Fortinet PSIRTポリシーを参照してください。
