Сигнатура от FireEye для обнаружения Solorigate и SunBurst

Дата: 14.12.2020. Автор: Денис Батранков. Категории: Блоги экспертов по информационной безопасности
Сигнатура от FireEye для обнаружения Solorigate и SunBurst

Внимательно читать! Про недавнюю атаку на компании через софт SolarWinds Orion я уже писал, что новую атаку сложно обнаружить, потому что она использует легитимные сервера SolarWinds, которые были тоже взломаны. И FireEye на сегодня единственная компания, которая обнаружила эту атаку на саму себя. 

data-original-height=425

Их служба безопасности выпустила сигнатуру, которую нужно загрузить в свое средство защиты: IPS или NGFW. Сигнатура в формате SNORT: https://github.com/fireeye/sunburst_countermeasures/blob/main/rules/SUNBURST/snort/Backdoor.SUNBURST_2.rules

Например, можно загрузить в Palo Alto Networks NGFW через Panorama SNORT и Suricata Plugin.

FireEye выложила на GitHub также список тех продуктов, которые они атаковали своими утилитами и он под угрозой. В основном надо быть осторожным тем, у кого Pulse и Fortigate SSL VPN, Microsoft RDP, Exchange и Outlook и также Citrix ADC и Gateway, Zoho ServiceDesk. 

Проблема с патчами очень актуальна — обычно ИТ администраторы не обновляют свои VPN шлюзы, что уж тут говорить про остальной софт.

Вот полный список уязвимостей, которые будут атаковать утилитами FireEye:

Index CVE Description CVSS
1 CVE-2019-11510 Pre-auth arbitrary file reading from Pulse Secure SSL VPNs 10.0
2 CVE-2020-1472 Microsoft Active Directory escalation of privileges 10.0
3 CVE-2018-13379 Pre-auth arbitrary file reading from Fortinet Fortigate SSL VPN 9.8
4 CVE-2018-15961 RCE via Adobe ColdFusion (arbitrary file upload that can be used to upload a JSP web shell) 9.8
5 CVE-2019-0604 RCE for Microsoft Sharepoint 9.8
6 CVE-2019-0708 RCE of Windows Remote Desktop Services (RDS) 9.8
7 CVE-2019-11580 Atlassian Crowd Remote Code Execution 9.8
8 CVE-2019-19781 RCE of Citrix Application Delivery Controller and Citrix Gateway 9.8
9 CVE-2020-10189 RCE for ZoHo ManageEngine Desktop Central 9.8
10 CVE-2014-1812 Windows Local Privilege Escalation 9.0
11 CVE-2019-3398 Confluence Authenticated Remote Code Execution 8.8
12 CVE-2020-0688 Remote Command Execution in Microsoft Exchange 8.8
13 CVE-2016-0167 local privilege escalation on older versions of Microsoft Windows 7.8
14 CVE-2017-11774 RCE in Microsoft Outlook via crafted document execution (phishing) 7.8
15 CVE-2018-8581 Microsoft Exchange Server escalation of privileges 7.4
16 CVE-2019-8394 Arbitrary pre-auth file upload to ZoHo ManageEngine ServiceDesk Plus 6.5

Источник — персональный блог Батранкова Дениса «Реальная безопасность».

Денис Батранков

Об авторе Денис Батранков

Советник по безопасности корпоративных сетей.
Читать все записи автора Денис Батранков

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *