安全厂商FireEye于12月8日表示遭到攻击,黑客不只企图找寻特定的用户资料,还对于该公司提供红队演练(Red Team)的工具下手。但对于防范这套工具日后可能会遭到滥用的情况,该公司在公告里表示,他们于GitHub提供相关的入侵指标(IoC)、Snort与Yara特征码等信息,并强调他们提供的工具都是利用已知漏洞。但这些漏洞究竟为何?一般人若是直接从该公司的公告内容,其实不易得知。而对于此事,思科的威胁情报单位于9日整理了一份指南,列出遭外泄的工具里,所采用的漏洞CVE编号清单与Snort特征编号对照表,以供企业进行因应。
事实上,思科列出的清单,是来自于FireEye于GitHub上公开的资料,这套工具总共运用了16项漏洞。这些漏洞存在于窗口操作系统、网络安全设备、电子邮件系统、协作平台,以及身份验证系统等。FireEye依据这些漏洞的CVSS风险评估指标,由高至低列出这些漏洞编号与叙述。
而根据这些漏洞所存在的软件和设备,我们将这16项漏洞归纳为下列类型:
CVE-2020-1472:又称Zerologon,可提升AD权限,CVSS风险指标为10分
CVE-2019-0708:又称BlueKeep,Windows远程桌面服务(RDS)的RCE漏洞,CVSS风险指标为9.8分
CVE-2014-1812:Windows本机权限提升漏洞,CVSS风险指标为9.0分
CVE-2016-0167:Windows本机权限提升漏洞,CVSS风险指标为7.8分
CVE-2019-11510:Pulse Secure VPN任意文件读取漏洞,CVSS风险指标为10分
CVE-2018-13379:FortiOS SSL VPN任意文件读取漏洞,CVSS风险指标为9.8分
CVE-2019-19781:Citrix ADC、Citrix Gateway、Citrix SD-WAN WANOP的RCE漏洞,CVSS风险指标为9.8分
CVE-2020-0688:Microsoft Exchange的RCE漏洞,CVSS风险指标为9.8分
CVE-2017-11774:Microsoft Outlook邮件程序,能通过草稿文件执行的RCE漏洞,CVSS风险指标为7.8分
CVE-2018-8581:Microsoft Exchange权限提升漏洞,CVSS风险指标为7.4分
CVE-2019-0604:Microsoft SharePoint的RCE漏洞,CVSS风险指标为9.8分
CVE-2019-3398:Confluence的RCE漏洞,CVSS风险指标为8.8分
CVE-2018-15961:Adobe ColdFusion的RCE漏洞(借由任意文件上传弱点,来上传JSP文件的Web Shell发动攻击),CVSS风险指标为9.8分
CVE-2019-11580:Atlassian Crowd的RCE漏洞,CVSS风险指标为9.8分
CVE-2020-10189:Zoho ManageEngine Desktop Central的RCE漏洞,CVSS风险指标为9.8分
CVE-2019-8394:Zoho ManageEngine ServiceDesk Plus的任意文件读取漏洞,CVSS风险指标为6.5分
在FireEye提及他们遭到外泄的工具中,强调所使用的都是已知漏洞,而值得留意的是,上述演练工具利用的漏洞,也不少在今年出现攻击行动。黑客为何会如此食髓之味,屡屡利用这种已知漏洞发动攻击?很可能和许多企业尚未修补漏洞有关。
例如,今年4月安全企业Rapid7发现,微软在2月修补的CVE-2020-0688漏洞,仍有35万台Exchange服务器未修补,微软也在6月提出警告,表示他们发现有越来越多黑客滥用这项漏洞来攻击Exchange服务器;再者,大型邮轮企业Carnival于8月底遭到勒索软件攻击,传出原因很有可能与Citrix设备未修补CVE-2019 -19781漏洞有关;11月下旬,有人在黑客论坛发布近5万个未修补CVE-2018–13379漏洞的Fortinet SSL VPN设备名单,企图吸引想要发动攻击的买家。这也代表着企业修补这种重大漏洞,应该需要采取更为快速的策略,以避免在尚未修补的空窗期成为黑客下手攻击的对象。