12月8日,美國頂級安全公司FireEye(中文名:火眼)發佈一則通告稱:其內部網絡被某個“擁有一流網絡攻擊能力的國家”所突破,這場攻擊導致FireEye的紅隊安全工具被盜走。 
FireEye官方說明(圖片源自FireEye官網fireeye.com) 這次攻擊和以往不同的是,攻擊者在入侵FireEye後,並沒有進行勒索或數據泄露等常規操作,而是直接盜走了安全工具包。而這樣的攻擊將產生更爲嚴重的影響,危害波及FireEye的客戶以及下游廠商,已屬於供應鏈攻擊的範疇。 在此我們大膽猜測,FireEye這次安全事件可能已經影響到了其客戶或下游。整個事件的經過可能是:最先由FireEye的客戶發現被FireEye的工具攻擊,推測疑似工具泄露。接着向FireEye方反饋,FireEye再緊急排查並響應,最後公佈出防禦策略(包括防火牆策略)。 知道創宇404實驗室及時跟進了這次安全事件,並將FireEye紅隊工具包中所含有的一部分漏洞進行了分析,具體如下:
01
漏洞名稱: Microsoft Windows組策略首選項密碼特權提升漏洞 CVE編號: CVE-2014-1812 漏洞說明: Windows Active Directory分發使用組策略首選項配置的密碼的方式中存在一個特權提升漏洞。經過身份驗證的攻擊者利用該漏洞可能會對密碼進行解密,並使用它們來在域上提升特權。Windows Vista SP2、Windows Server 2008 SP2和R2SP1,Windows7 SP1,Windows8,Windows8.1,Windows Server 2012Gold和R2受到影響。
02
漏洞名稱: Windows RDP遠程代碼執行高危漏洞(BlueKeep) CVE編號: CVE-2019-0708 漏洞說明: BlueKeep(CVE-2019-0708)是微軟遠程桌面協議(RDP)中的一個高危遠程代碼執行漏洞,該漏洞已經有公開的metasploit腳本了。
03
漏洞名稱: Microsoft Outlook 安全功能繞過漏洞 CVE編號: CVE-2017-11774 漏洞說明: 當 Microsoft Outlook 不正確地處理內存中的對象時,存在安全功能繞過漏洞。成功利用此漏洞的攻擊者可以執行任意命令。在文件共享攻擊情形中,攻擊者可能會提供旨在利用此漏洞的經特殊設計的文檔文件,然後誘使用戶打開該文檔文件並與文檔進行交互。
備註: 該漏洞可以被用作釣魚攻擊。
04
漏洞名稱: Adobe ColdFusion文件上傳導致任意代碼執行 CVE編號: CVE-2018-15961
漏洞說明: 該漏洞是一個任意文件上傳漏洞,攻擊者可以通過上傳jsp文件的方式來實現代碼執行。
05
漏洞名稱: Citrix Application Delivery Controller and Citrix Gateway遠程代碼執行漏洞 CVE編號: CVE-2019-19781 漏洞說明: 該漏洞使遠程攻擊者可以輕鬆地發送目錄遍歷請求,從系統配置文件中讀取敏感信息,而無需用戶身份驗證並遠程執行任意代碼。
06
漏洞名稱: Confluence路徑穿越漏洞 CVE編號: CVE-2019-3398
漏洞說明: Confluence Server和Data Center產品在downloadallattachments資源中存在一個路徑穿越漏洞,擁有以下權限之一的攻擊者可以在服務器上任意目錄上傳文件從而達到遠程代碼執行:
- 向頁面或博客添加附件
- 能夠創建新的空間(space)
- 對某空間(space)有Admin權限
07
漏洞名稱: Atlassian Crowd未授權文件上傳漏洞 CVE編號: CVE-2019-11580
漏洞說明: 該漏洞是由於Crowd pdkinstall插件允許未授權上傳導致的,攻擊者可以上傳惡意插件並通過插件執行命令。
08
漏洞名稱: Fortigate SSL VPN 未授權RCE等漏洞
CVE編號: CVE-2018-13379
漏洞說明: blackhat2019上,安全研究院Orange和Meh Chang披露了Fortinet的SSL VPN多個漏洞,其中就包括CVE-2018-13379,攻擊者可以利用該漏洞實現任意文件讀取。
09
漏洞名稱: Microsoft Exchange Server遠程命令執行漏洞
CVE編號: CVE-2020-0688
漏洞說明: 攻擊者可以在登陸後欺騙目標服務器生成惡意的序列化ViewState數據,從而利用.net反序列化的特性在Exchange Control Panel web應用上執行任意.net代碼。
10
漏洞名稱: Pulse Secure SSL VPN 未授權任意文件讀取漏洞
CVE編號: CVE-2019-11510
漏洞說明: blackhat2019上,安全研究院Orange和Meh Chang披露了多個SSL VPN漏洞,其中包括Pulse Secure的多個漏洞,CVE-2019-11510爲任意文件讀取漏洞。
11
漏洞名稱: Microsoft SharePoint 遠程代碼執行漏洞
CVE編號: CVE-2019-0604
漏洞說明: 該漏洞可造成windows系統服務器的遠程命令執行,有可能完全控制服務器。攻擊者可將攻擊者可將精心構造的請求通過ItemPickerWebForm控件傳入後端EntityInstanceIdEncoder.DecodeEntityInstanceId(encodedId)方法中,因爲方法沒有對傳入的encodedId進行任何處理,也沒有對XmlSerializer構造函數的類型參數進行限制,可直接通過XmlSerializer反序列化,造成命令執行。
12
漏洞名稱: Zoho ManageEngine Desktop Central 遠程代碼執行漏洞 CVE編號: CVE-2020-10189
漏洞說明: Zoho ManageEngine Desktop Central在FileStorage類getChartImage函數處理時候反序列化了惡意數據,導致遠程代碼執行。
13
漏洞名稱: Zoho ManageEngine ServiceDesk Plus 任意文件上傳漏洞 CVE編號: CVE-2019-8394
漏洞說明: Zoho ManageEngine ServiceDesk Plus在10.0 build 10012版本之前,存在任意文件上傳漏洞,攻擊者可以通過上傳jsp文件來實現代碼執行。
14
漏洞名稱: Windows Netlogon 遠程協議權限提升漏洞 CVE編號: CVE-2020-1472
漏洞說明: 2020年9月11日,也就是微軟發佈補丁的三十天後,Secura的安全研究人員公開了一篇名爲《Zerologon:instantlybecomedomainadminbysubvertingNetlogoncryptography》的博客。博客給出了一份白皮書,詳細地介紹了CVE-2020-1472漏洞的利用流程。利用該漏洞,未經身份驗證的攻擊者可以通過Netlogon遠程協議(MS-NRPC)連接到域控服務器以獲得域管理員權限。
15
漏洞名稱: Microsoft Exchange Server 特權提升漏洞
CVE編號: CVE-2018-8581
漏洞說明: Microsoft Exchange Server 中存在特權提升漏洞。成功利用此漏洞的攻擊者可以嘗試模擬 Exchange 服務器的其他任何用戶。它可以在擁有了一個普通權限郵箱賬號密碼後,完成對其他用戶(包括域管理員)郵箱收件箱的委託接管。
備註: 是一個郵箱層面的橫向滲透和提權漏洞。
結語
特別提醒:這些相應的識別規則已經加入了知道創宇NDR產品。 結合近期的網絡安全態勢來看,這次攻擊可能會成爲全球新一波攻擊浪潮的起點。除此之外,富士康近期也遭到黑客攻擊並被勒索2.3億元贖金。 由此可窺見,網絡安全態勢在未來只會愈發嚴峻,從繁雜嚴謹的攻擊方式,到不斷升級的攻擊規模,再到從上至下的影響範圍,都在提醒我們:沒有絕對的網絡安全。 面對不斷提升的攻擊成本,本身的攻防不對等會讓防守方更爲被動。“網絡安全的本質在對抗,對抗的本質在攻防兩端的較量”。堅守“真攻防”,是知道創宇永遠的目標。我們將持續不斷用“真攻防”打造更爲強勁的安全能力。