Cabecera-v2-web.jpg

Robo de herramientas del Red Team de FireEye, podría ser aprovechado por atacantes para para tomar el control de sistemas específicos


team.png

10/12/2020

FireEye, una empresa estadounidense, y una de las principales de ciberseguridad en todo el mundo dedicada al análisis y prevención de vulnerabilidades, informa que ha sido vulnerada por atacantes altamente sofisticados, con capacidades ofensivas de primer nivel, provocando el acceso no autorizado y robo de una serie herramientas importantes de su Red Team, que se utilizan para probar la seguridad y defensas de sus clientes (pentesting), que incluye el aprovechamiento o explotación de CVEs bien conocidos. Según los investigadores, los atacantes operaron clandestinamente, utilizando una combinación novedosa de técnicas y métodos que contrarrestan las herramientas de seguridad y examinaciones forenses.

Las herramientas robadas, imitan el comportamiento de muchos actores de amenazas cibernéticas y permiten brindar servicios de diagnóstico de seguridad,y van desde simples scripts utilizados para automatizar el reconocimiento hasta marcos completos que son similares a las tecnologías disponibles públicamente como CobaltStrike y Metasploit. No existen exploits de 0-Day ni hay evidencia de que haya existido una fuga de datos de clientes.

Además, no se tiene conocimiento sobre el uso malicioso de estas herramientas o divulgaciones públicas hasta la fecha, pero usuarios de terceros no autorizados podrían abusar de estas herramientas para tomar el control de sistemas específicos.

Paraguay podría verse afectado, si existieran sistemas vulnerables en ciberentorno, en donde las herramientas robadas pudieran ser aprovechadas por los atacantes.

Una lista priorizada de los productos afectados por vulnerabilidades clasificadas por calificación de riesgo, que deben ser abordadas para limitar la efectividad del uso no autorizado de las herramientas robadas:

  1. CVE-2019-11510 – Preautorización de lectura arbitraria de archivos en Pulse Secure SSL VPNs - CVSS 10.0
  2. CVE-2020-1472 – Escalación de privilegios en Microsoft Active Directory - CVSS 10.0
  3. CVE-2018-13379 – Preautorización de lectura arbitraria de archivos en Fortinet Fortigate SSL VPN - CVSS 9.8
  4. CVE-2018-15961 – RCE via Adobe ColdFusion - CVSS 9.8
  5. CVE-2019-0604 – RCE para Microsoft Sharepoint - CVSS 9.8
  6. CVE-2019-0708 – RCE en Windows Remote Desktop Services (RDS) - CVSS 9.8
  7. CVE-2019-11580 - Ejecución remota de código en Atlassian Crowd - CVSS 9.8
  8. CVE-2019-19781 – RCE en Citrix Application Delivery Controller y Citrix Gateway - CVSS 9.8
  9. CVE-2020-10189 – RCE en ZoHo ManageEngine Desktop Central - CVSS 9.8
  10. CVE-2014-1812 – Escalación de privilegios local en Windows - CVSS 9.0
  11. CVE-2019-3398 – Ejecución remota de código en Confluence Authenticated - CVSS 8.8
  12. CVE-2020-0688 – Ejecución remota de comandos en Microsoft Exchange - CVSS 8.8
  13. CVE-2016-0167 – Escalación de privilegios local en versiones viejas de Microsoft Windows - CVSS 7.8
  14. CVE-2017-11774 – RCE en Microsoft Outlook (phishing) - CVSS 7.8
  15. CVE-2018-8581 - Escalación de privilegios en Microsoft Exchange Server - CVSS 7.4
  16. CVE-2019-8394 – Preautorización de carga arbitraria de archivos en ZoHo ManageEngine ServiceDesk Plus - CVSS 6.5

FireEye ha publicado cientos de contramedidas para permitir que la comunidad se proteja contra estas herramientas, además han creado un conjunto de scripts, herramientas, y escáneres como OpenIOC, Yara, Snort y ClamAV y técnicas para ayudar a mejorar la seguridad.

Recomendaciones de Seguridad

  • Revisar sus sistemas y aplicaciones, y aplicar las ultimas actualizaciones de seguridad disponibles en los sitios web oficiales.
  • Revisar y aplicar las más de 300 contramedidas desarrolladas para ser utilizadas a fin detectar o bloquear el uso de herramientas del Red Team robadas y de minimizar el impacto potencial del robo de estas herramientas. Estas contramedidas también están disponibles públicamente en: Repositorio de GitHub.

Referencias


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11