Уязвимости, которые используют средства пентестинга, украденные у FireEye в результате атаки на ИТ-провайдера SolarWinds, до сих пор не пропатчены на миллионах устройств. В основном это восемь известных брешей в продуктах Microsoft, заплатки для которых и альтернативные меры защиты давно опубликованы.
О краже инструментария FireEye, предназначенного для тестирования систем на устойчивость к внешним угрозам, стало известно в начале текущего месяца. Позднее этот инцидент связали с масштабным заражением в результате атаки на ИТ-сервис SolarWinds Orion.
Украденные у FireEye инструменты ориентированы на 16 известных уязвимостей в продуктах восьми вендоров — Pulse Secure, Microsoft, Fortinet, Adobe, Atlassian, Citrix, Zoho и Confluence. Ввиду риска злонамеренного использования этого арсенала эксперты Qualys решили оценить потенциальную площадь атаки по своей пользовательской базе.
Проведенное ими исследование выявило более 7,54 млн уязвимых копий продуктов, включенных в состав 5,29 млн уникальных систем. Подавляющее большинство уязвимых экземпляров софта (99,84%) — это продукты Microsoft, содержащие какую-либо из следующих уязвимостей:
- CVE-2020-1472 в Windows-службе Netlogon — возможность повышения привилегий, известная как Zerologon; 10 баллов по шкале CVSS;
- CVE-2019-0604 в Microsoft Sharepoint — удаленное исполнение кода; 9,8 балла по CVSS;
- CVE-2019-0708 в службе удаленного рабочего стола Windows — возможность удаленного исполнения кода, известная как BlueKeep; 9,8 балла;
- CVE-2014-1812 в реализации групповых политик Active Directory — возможность повышения привилегий, 9 баллов;
- CVE-2020-0688 в Microsoft Exchange Server — удаленное исполнение кода, 8,8 балла;
- CVE-2016-0167 в графическом компоненте Windows — локальное повышение привилегий, 7,8 балла;
- CVE-2017-11774 в Microsoft Outlook — удаленное исполнение кода; 7,8 балла;
- CVE-2018-8581 в Exchange Server — повышение привилегий, 7,4 балла.
Приводя этот скромный перечень, исследователи подчеркнули: установка недостающих патчей могла бы значительно сократить площадь атаки для инструментов FireEye.
Чтобы ускорить исправление ситуации, Qualys на два месяца откроет бесплатный доступ к своему сервису управления уязвимостями. Аналогичную услугу предлагает израильская компания Vulcan Cyber. Признаки компрометации пользователи могут выявить с помощью таких защитных решений, как EDR (Endpoint Detection and Response, система обнаружения сложных угроз на конечных точках) и FIM (File Integrity Monitoring, средство мониторинга целостности файлов).
