business-and-technology

FireEye レッドチームツールの侵害

エグゼクティブサマリー

12月8日、サイバーセキュリティベンダーのFireEyeは、社内で開発しているレッドチームツールを含むネットワークへの侵入とデータの流出を報告しました。FireEyeは、これらのツールの詳細をGitHubのリポジトリで公開し、他のベンダーが潜在的な敵に使用されないようにするための措置を講じました。

この侵害は、国家レベルの脅威行為者に起因するものであるため、これらのツールが広く悪用されるとは思えませんが、FireEyeが提供した追加情報により、フォーティネットは、これらのツールが悪用されないことを確認することができました。


脅威の減災策

ツール内で標的として公開された脆弱性はいずれもゼロデイではなく、FortiGuard Labs は、以下の CVE に対して既存のカバレッジを適用していました。

CVE Description Sig ID Coverage
CVE-2019-11510 pre-auth arbitrary file reading from Pulse Secure SSL VPNs 48342 IPS
CVE-2020-1472 Microsoft Active Directory escalation of privileges 49499 IPS
CVE-2018-13379 pre-auth arbitrary file reading from Fortinet Fortigate SSL VPN 48321 IPS
CVE-2018-15961 RCE via Adobe ColdFusion (arbitrary file upload that can be used to upload a JSP web shell) 47129 IPS
CVE-2019-0604 RCE for Microsoft Sharepoint 47918 IPS
CVE-2019-0708 RCE of Windows Remote Desktop Services (RDS) 47968 IPS
CVE-2019-11580 Atlassian Crowd Remote Code Execution 48192 IPS
CVE-2019-19781 RCE of Citrix Application Delivery Controller and Citrix Gateway 48653 IPS
CVE-2020-10189 RCE for ZoHo ManageEngine Desktop Central 48794 IPS
CVE-2014-1812 Windows Local Privilege Escalation 23982 FortiClient
CVE-2019-3398 Confluence Authenticated Remote Code Execution 47983 IPS
CVE-2020-0688 Remote Command Execution in Microsoft Exchange 48765 IPS
CVE-2016-0167 local privilege escalation on older versions of Microsoft Windows 42285 IPS
CVE-2017-11774 RCE in Microsoft Outlook via crafted document execution (phishing) 48144 IPS
CVE-2018-8581 Microsoft Exchange Server escalation of privileges 47347 IPS
CVE-2019-8394 arbitrary pre-auth file upload to ZoHo ManageEngine ServiceDesk Plus 48988 IPS

追加の減災策

これらの脆弱性のうちの1つには、18ヶ月以上前に解決されたFortinetの脆弱性が含まれています。我々は、元のアドバイザリFG-IR-18-384/CVE-2018-13379およびこちらのブログで概説されている以前の減災策を実施することの緊急性を再確認しています。

すべての製品やアプリケーションのセキュリティ更新を監視し、そのような脆弱性が発表された場合には、特にインターネットに面したサービスに対して、直ちに対応するプロセスを用意しておくことが重要です。

このプロセスを支援するために、フォーティネットは、お客様に一ヶ月に1日、緊急のアップデートに集中していただけるように、毎月の脆弱性通知プロセスに移行しました。月例およびクリティカルアウトオブサイクルのアップデートを受け取る方法の詳細については、こちらを参照してください。

Fortinet PSIRT ポリシーの詳細および脆弱性の報告方法については、Fortinet PSIRTポリシーを参照してください。