1.事件回顾
2020年12月8日,安全公司FireEye发布博客表示,其内部网络遭到某高级组织攻击,FireEye红队工具箱遭窃取。
据FireEye称,此次被盗的红队工具主要用来为其客户提供基本的渗透测试服务,其中并不包含 0day 漏洞的利用和未公开技术。所涉及工具包含开源工具、开源工具的二次开发版本以及部分自研武器化工具。从工具用途看基本覆盖了包括持久化、权限提升、防御绕过、凭证获取、域内信息收集、横向移动等攻击生命周期的各个阶段。其中部分工具此前已被发布到社区和开源虚拟机CommandoVM中。
被窃的红队工具箱就像一个定时炸弹,无论攻击者是自己使用被盗工具还是公开披露都将成为重大威胁,所以为了使各组织能提前采取应对措施,FireEye已发布对策。Go
2.已公开受影响漏洞List
序号 | 漏洞编号 | 漏洞名称 | 漏洞描述 |
1 | CVE-2017-11774 | Microsoft Outlook中通过诱导用户手动执行文档(钓鱼)实现RCE | 由于Microsoft Office如何处理内存中的对象,也称为“ Microsoft Outlook安全功能绕过漏洞”,Microsoft Outlook 2010 SP2,Outlook 2013 SP1和RT SP1以及Outlook 2016允许攻击者执行任意命令。 |
2 | CVE-2018-13379 | Fortinet Fortigate SSL VPN预授权任意文件读取 | 在SSL VPN Web门户下,Fortinet FortiOS 6.0.0到6.0.4、5.6.3到5.6.7和5.4.6到5.4.12中路径名到受限目录的不正确限制(“路径遍历”)允许未经身份验证攻击者通过特殊的HTTP资源请求下载系统文件。 |
3 | CVE-2018-15961 | Adobe ColdFusion RCE(可用于上传JSP Web shell) | Adobe ColdFusion 7月12日发行版(2018.0.0.310739),Update 6和更早版本以及Update 14和更早版本具有不受限制的文件上传漏洞。成功的利用可能导致任意代码执行。 |
4 | CVE-2018-8581 | Microsoft Exchange Server 特权提升 | Microsoft Exchange Server中存在一个特权提升漏洞,也称为“ Microsoft Exchange Server特权提升漏洞”。这会影响Microsoft Exchange Server。 |
5 | CVE-2019-0604 | Microsoft Sharepoint RCE | 当软件无法检查应用程序包的源标记,即“ Microsoft SharePoint远程执行代码漏洞”时,Microsoft SharePoint中存在一个远程执行代码漏洞。此CVE ID从CVE-2019-0594起是唯一的。 |
6 | CVE-2019-0708 | Windows 远程桌面服务(RDS)RCE | 当未经身份验证的攻击者使用RDP连接到目标系统并发送经特殊设计的请求(也称为“远程桌面服务远程执行代码漏洞”)时,远程桌面服务中存在一个远程执行代码漏洞(以前称为终端服务) |
7 | CVE-2019-11510 | Pulse Secure SSL VPNs 预授权任意文件读取 | 在8.2R12.1之前的Pulse Secure Pulse Connect Secure(PCS)8.2、8.3R7.1之前的8.3和9.0R3.4之前的9.0中,未经身份验证的远程攻击者可以发送特制的URI来执行任意文件读取漏洞。 |
8 | CVE-2019-11580 | Atlassian Crowd RCE | Atlassian Crowd和Crowd Data Center在发行版本中错误地启用了pdkinstall开发插件。可以将未经身份验证或身份验证的请求发送到Crowd或Crowd Data Center实例的攻击者可以利用此漏洞安装任意插件,从而允许在运行存在漏洞的Crowd或Crowd Data Center版本的系统上远程执行代码。3.0.5之前的2.1.0版本(3.0.x的固定版本),3.1.0之前的3.1.0版本(3.1.x的固定版本),3.2。之前的3.2.0的所有版本的Crowd。 8(3.2.x的固定版本),3.3.5之前的3.3.0版本(3.3.x的固定版本)和3.4.4之前的3.4.0版本(3.4.x的固定版本)受此漏洞影响。 |
9 | CVE-2019-19781 | Citrix应用交付控制器和Citrix网关的RCE | 在Citrix Application Delivery Controller(ADC)和网关10.5、11.1、12.0、12.1和13.0中发现了一个问题。它们允许目录遍历。 |
10 | CVE-2019-3398 | Confluence需经认证的 RCE | Confluence Server和Data Center在downloadallattachments资源中具有路径遍历漏洞。有权向页面和/或博客添加附件或创建新空间或个人空间,或对空间具有“管理员”权限的远程攻击者可以利用此路径遍历漏洞将文件写入任意位置,从而导致在运行有漏洞的Confluence Server或Data Center版本的系统上远程执行代码。从2.0.0到6.6.13之前的所有版本(6.6.x的固定版本),从6.7.0到6.12.4之前的固定版本(6.12.x的固定版本),从6.13.0到6.13.4之前的所有版本(受此漏洞影响的版本是6.13.x的固定版本),6.14.3之前的6.14.0(6.14.x的固定版本)和6.15.2之前的6.15.0。 |
11 | CVE-2019-8394 | ZoHo ManageEngine ServiceDesk Plus 预授权任意文件上传 | 10.0 build 10012之前的Zoho ManageEngine ServiceDesk Plus(SDP)允许远程攻击者通过自定义登录页面来上传任意文件。 |
12 | CVE-2020-0688 | Microsoft Exchange RCE | 当Microsoft Exchange软件无法正确处理内存中的对象(也称为“ Microsoft Exchange内存损坏漏洞”)时,将存在一个远程执行代码漏洞。 |
13 | CVE-2020-10189 | ZoHo ManageEngine Desktop Central RCE | 10.0.474之前的Zoho ManageEngine Desktop Central允许远程执行代码,因为FileStorage类的getChartImage中的不可信数据反序列化。这与CewolfServlet和MDMLogUploaderServlet Servlet有关。 |
14 | CVE-2020-1472 | Microsoft Active Directory 特权提升 | 当攻击者使用Netlogon远程协议(MS-NRPC)(又称为“ Netlogon特权提升漏洞”)建立与域控制器的易受攻击的Netlogon安全通道连接时,将存在特权提升漏洞。 |
15 | CVE-2016-0167 | Microsoft Windows 老版本本地提权 | Microsoft Windows Vista SP2,Windows Server 2008 SP2和R2 SP1,Windows 7 SP1,Windows 8.1,Windows Server 2012 Gold和R2,Windows RT 8.1和Windows 10 Gold和1511中的内核模式驱动程序允许本地用户通过以下方式获得特权一个精心制作的应用程序,也称为“ Win32k特权提升漏洞”,与CVE-2016-0143和CVE-2016-0165的漏洞不同。 |
16 | CVE-2014-1812 | Windows 本地提权 | Microsoft Windows Vista SP2,Windows Server 2008 SP2和R2 SP1,Windows 7 SP1,Windows 8,Windows 8.1和Windows Server 2012 Gold和R2中的组策略实现无法正确处理密码的分发,这允许远程身份验证的用户获取敏感的凭据信息,从而通过利用对SYSVOL共享的访问来获得特权(如2014年5月在野外所使用的,也称为“组策略首选项特权密码漏洞”) |
3.被窃工具检测规则
为了帮助组织能够识别到被窃工具的恶意利用,FireEye 已将被窃工具的检测规则发布到 Github。目前311个检测规则中包含YARA规则165个,SNORT规则34个,IOC规则88个,CLAMAV规则24个。Github仓库还会持续更新,详见:链接