Сигнатура от FireEye для обнаружения Solorigate и SunBurst

Сигнатура от FireEye для обнаружения Solorigate и SunBurst

Внимательно читать! Про недавнюю атаку на компании через софт SolarWinds Orion я уже писал, что новую атаку сложно обнаружить, потому что она использует легитимные сервера SolarWinds, которые были тоже взломаны. И FireEye на сегодня единственная компания, которая обнаружила эту атаку на саму себя.

data-original-height=425

Их служба безопасности выпустила сигнатуру, которую нужно загрузить в свое средство защиты: IPS или NGFW. Сигнатура в формате SNORT: https://github.com/fireeye/sunburst_countermeasures/blob/main/rules/SUNBURST/snort/Backdoor.SUNBURST_2.rules

Например, можно загрузить в Palo Alto Networks NGFW через Panorama SNORT и Suricata Plugin.

FireEye выложила на GitHub также список тех продуктов, которые они атаковали своими утилитами и он под угрозой. В основном надо быть осторожным тем, у кого Pulse и Fortigate SSL VPN, Microsoft RDP, Exchange и Outlook и также Citrix ADC и Gateway, Zoho ServiceDesk.

Проблема с патчами очень актуальна — обычно ИТ администраторы не обновляют свои VPN шлюзы, что уж тут говорить про остальной софт.

Вот полный список уязвимостей, которые будут атаковать утилитами FireEye:

Index CVE Description CVSS
1 CVE-2019-11510 Pre-auth arbitrary file reading from Pulse Secure SSL VPNs 10.0
2 CVE-2020-1472 Microsoft Active Directory escalation of privileges 10.0
3 CVE-2018-13379 Pre-auth arbitrary file reading from Fortinet Fortigate SSL VPN 9.8
4 CVE-2018-15961 RCE via Adobe ColdFusion (arbitrary file upload that can be used to upload a JSP web shell) 9.8
5 CVE-2019-0604 RCE for Microsoft Sharepoint 9.8
6 CVE-2019-0708 RCE of Windows Remote Desktop Services (RDS) 9.8
7 CVE-2019-11580 Atlassian Crowd Remote Code Execution 9.8
8 CVE-2019-19781 RCE of Citrix Application Delivery Controller and Citrix Gateway 9.8
9 CVE-2020-10189 RCE for ZoHo ManageEngine Desktop Central 9.8
10 CVE-2014-1812 Windows Local Privilege Escalation 9.0
11 CVE-2019-3398 Confluence Authenticated Remote Code Execution 8.8
12 CVE-2020-0688 Remote Command Execution in Microsoft Exchange 8.8
13 CVE-2016-0167 local privilege escalation on older versions of Microsoft Windows 7.8
14 CVE-2017-11774 RCE in Microsoft Outlook via crafted document execution (phishing) 7.8
15 CVE-2018-8581 Microsoft Exchange Server escalation of privileges 7.4
16 CVE-2019-8394 Arbitrary pre-auth file upload to ZoHo ManageEngine ServiceDesk Plus 6.5

Источник — персональный блог Батранкова Дениса «Реальная безопасность».

Денис Батранков
Автор: Денис Батранков
Советник по безопасности корпоративных сетей.
Комментарии: