FireEye Red Team のツールに対する不正アクセスに関してまとめてみた
こんにちはLokiです。今回は有名なアメリカのセキュリティ企業Fireeyeが不正アクセスを受けたので、そちらに関してまとめてみました。
概要
FireEye社がRed Team業務で使用しているツールがサイバー犯罪によって盗難されました。Fireeye社は国家的な支援を受けている犯罪組織によって盗難されたと主張しています。→Fireeye社の公式ブログ
判明していること
- 過去に例を見ない新しい技術の組み合わせであること
- 連邦捜査局やマイクロソフトを含む他の主要なパートナーと協力して積極的に調査を行っていること
- 攻撃者は、顧客のセキュリティをテストするために使用する特定のレッドチーム評価ツールを標的にしてアクセスしたこと
- 盗まれたツールにはゼロデイエクスプロイトは含まれていないこと
- 攻撃者がRedTeamツールを使用するつもりなのか、それとも公開するつもりなのかは不明
- 攻撃者は内部システムの一部にアクセスできたこと
- 顧客情報などは流出していない
盗まれたツールについて
- 偵察を自動化するために使用される単純なスクリプト
- CobaltStrikeやMetasploitなどの公的に利用可能なテクノロジーに類似したフレームワーク
- 一部のツールは、基本的なセキュリティ検出メカニズムを回避するように変更された、公開されているツール
- それ以外のツールについては、レッドチームのために社内で開発されたもの
ツールで使用されている脆弱性について
CVE | 脆弱性の説明(JVN) | CVSS | JVN |
---|---|---|---|
CVE-2019-11510 | Pulse Secure Pulse Connect Secure におけるパーミッションに関する脆弱性 | 10.0 | 詳細 |
CVE-2020-1472 | 複数の Microsoft Windows 製品における権限昇格の脆弱性 | 10.0 |
詳細 |
CVE-2018-13379 | Fortinet FortiOS におけるパストラバーサルの脆弱性 | 9.8 |
詳細 |
CVE-2018-15961 | Adobe ColdFusion における危険なタイプのファイルの無制限アップロードに関する脆弱性 | 9.8 |
詳細 |
CVE-2019-0604 | Microsoft SharePoint におけるリモートでコードを実行される脆弱性 | 9.8 | 詳細 |
CVE-2019-0708 | 複数の Microsoft Windows 製品のリモートデスクトップ サービスにおけるリモートでコードを実行される脆弱性 | 9.8 | 詳細 |
CVE-2019-11580 | Atlassian Crowd および Crowd Data Center における入力確認に関する脆弱性 | 9.8 | 詳細 |
CVE-2019-19781 | Citrix Application Delivery Controller および Gateway におけるパストラバーサルの脆弱性 | 9.8 | 詳細 |
CVE-2020-10189 | Zoho ManageEngine Desktop Central における信頼性のないデータのデシリアライゼーションに関する脆弱性 | 9.8 | 詳細 |
CVE-2014-1812 | 複数の Microsoft Windows 製品のグループポリシーの実装における重要な認証情報を取得される脆弱性 | 9.0 | 詳細 |
CVE-2019-3398 | Confluence Server および Data Center におけるパストラバーサルの脆弱性 | 8.8 | 詳細 |
CVE-2020-0688 | Microsoft Exchange Server におけるリモートでコードを実行される脆弱性 | 8.8 | 詳細 |
CVE-2016-0167 | 複数の Microsoft Windows 製品のカーネルモードドライバにおける権限昇格の脆弱性 | 7.8 | 詳細 |
CVE-2017-11774 | 複数の Microsoft Outlook 製品における任意のコマンドを実行される脆弱性 | 7.8 | 詳細 |
CVE-2018-8581 | Microsoft Exchange Server における権限を昇格される脆弱性 | 7.4 | 詳細 |
CVE-2019-8394 | Zoho ManageEngine ServiceDesk Plus における危険なタイプのファイルの無制限アップロードに関する脆弱性 | 6.5 |
詳細 |
Fireeye社の対応
- 盗まれたレッドチームツールの使用を検出またはブロックできる対策を用意した
- セキュリティ製品に対策を講じた
- これらの対策をセキュリティコミュニティの同僚と共有し、セキュリティツールを更新できるようにした
- 対策については、ブログ投稿「FireEyeRedチームツールの不正アクセス」で公開した
- Red Teamツールが利用可能になり次第、セキュリティパートナーと公的および直接の両方で、追加の緩和策を共有および改善し続けることを決定した
- 情報が盗まれたことが判明した場合は、直接連絡をすること
対策
参考
- FireEye Shares Details of Recent Cyber Attack, Actions to Protect Community(fireeye)
- 脅威に関する情報: FireEyeレッドチームツールの漏えいについて(paloalt)
- red_team_tool_countermeasures(fireeye社のリポジトリ)