Сигнатура от FireEye для обнаружения Solorigate и SunBurst

Сигнатура от FireEye для обнаружения Solorigate и SunBurst

Внимательно читать! Про недавнюю атаку на компании через софт SolarWinds Orion я  уже писал, что новую атаку сложно обнаружить, потому что она использует легитимные сервера SolarWinds, которые были тоже взломаны. И FireEye на сегодня единственная компания, которая обнаружила эту атаку на саму себя. 


Их служба безопасности выпустила сигнатуру, которую нужно загрузить в свое средство защиты: IPS или NGFW. Сигнатура в формате SNORT: https://github.com/fireeye/sunburst_countermeasures/blob/main/rules/SUNBURST/snort/Backdoor.SUNBURST_2.rules

Например, можно загрузить в Palo Alto Networks NGFW через Panorama SNORT и Suricata Plugin .

FireEye выложила на GitHub также список тех продуктов, которые они атаковали своими утилитами и он под угрозой. В основном надо быть осторожным тем, у кого Pulse и Fortigate SSL VPN , Microsoft RDP, Exchange и Outlook и также Citrix ADC и Gateway, Zoho ServiceDesk. 

Проблема с патчами очень актуальна - обычно ИТ администраторы не обновляют свои VPN шлюзы, что уж тут говорить про остальной софт.

Вот полный список уязвимостей, которые будут атаковать утилитами FireEye:

IndexCVEDescriptionCVSS
1 CVE-2019-11510 Pre-auth arbitrary file reading from Pulse Secure SSL VPNs10.0
2 CVE-2020-1472 Microsoft Active Directory escalation of privileges10.0
3 CVE-2018-13379 Pre-auth arbitrary file reading from Fortinet Fortigate SSL VPN9.8
4 CVE-2018-15961 RCE via Adobe ColdFusion (arbitrary file upload that can be used to upload a JSP web shell)9.8
5 CVE-2019-0604 RCE for Microsoft Sharepoint9.8
6 CVE-2019-0708 RCE of Windows Remote Desktop Services (RDS)9.8
7 CVE-2019-11580 Atlassian Crowd Remote Code Execution9.8
8 CVE-2019-19781 RCE of Citrix Application Delivery Controller and Citrix Gateway9.8
9 CVE-2020-10189 RCE for ZoHo ManageEngine Desktop Central9.8
10 CVE-2014-1812 Windows Local Privilege Escalation9.0
11 CVE-2019-3398 Confluence Authenticated Remote Code Execution8.8
12 CVE-2020-0688 Remote Command Execution in Microsoft Exchange8.8
13 CVE-2016-0167 local privilege escalation on older versions of Microsoft Windows7.8
14 CVE-2017-11774 RCE in Microsoft Outlook via crafted document execution (phishing)7.8
15 CVE-2018-8581 Microsoft Exchange Server escalation of privileges7.4
16 CVE-2019-8394 Arbitrary pre-auth file upload to ZoHo ManageEngine ServiceDesk Plus6.5
Alt text
В пятом выпуске мы расскажем о кибератаках на Pfizer, SolarWinds, а также о масштабных хищениях с помощью изощренных взломов. Новый обзор в нашем Youtube канале!

ksiva

Пусть будет утренний в честь того, что я его создал утром.