安全研究人员指出,12月初FireEye遭窃取的红队测试工具可能已经被滥用,有数百万设备因此受到影响。
12月初FireEye公布网络遭国家支持的黑客组织黑入,黑客窃取了该公司模拟网络攻击用以测试客户环境的红队测试工具。另一方面,FireEye也证实内部网络发现SolarWinds公司遭植入后门程序Sunburst的Orion软件。
上星期安全公司Qualys查看其1.5万家企业客户网络上的漏洞,发现有754万个和FireEye红队测试工具有关、存在漏洞的执行实例(instance),传播于529万台不同的计算机资产中,显示这套工具外流引发的可能攻击面有多大。相较之下,其客户公司网络上和SolarWinds有关的漏洞执行实例,则只有数百个。
FireEye的红队测试工具包含16项已知漏洞,但Qualys发现的700多万个存在漏洞的执行实例中,99.84%和微软产品的8项漏洞有关。
这8项漏洞皆为中高风险漏洞,包括代号Zerologon的Windows Netlogon权限升级漏洞、代号BlueKeep的Windows RDP的RCE漏洞、以及传播于Exchange、SharePoint及Windows本机的中、高风险漏洞等。
不过一如FireEye当时强调这批漏洞并没有零时差漏洞,意即都是已经有修补程序发布的漏洞。微软也都早期发布了更新版本。Qualys指出,这也意味着定期更新软件的重要性;只要更新到最新版本就能免于被黑。
安全公司同时呼吁企业关闭2019.4到2020.2.1版的SolarWinds Orion直到安装修补程序、对所有受影响的软件和操作系统实施安全控制,并查看网络内是否有恶意的Orion二进制档以及其他入侵指标(Indicators of Compromise)。