- Jonathan Rodriguez Paipa
Incumplimiento de herramienta del equipo FireEye Red
Por: Carl Windsor
Resumen Ejecutivo

El 8 de diciembre seguridad cibernética proveedor FireEye reportó una violación de su red y los datos exfiltración que incluía sus herramientas Team Red desarrollados internamente. FireEye dio el paso de publicar detalles de estas herramientas en un repositorio de GitHub para permitir que otros proveedores se protejan contra su uso por posibles adversarios.
Esta violación se ha atribuido a un actor de amenazas de un estado nacional, por lo que no esperamos que se abuse de estas herramientas en la naturaleza; sin embargo, con la información adicional proporcionada por FireEye, Fortinet ha podido garantizar que estas herramientas no puedan ser abusadas.
Mitigación de amenazas
Ninguna de las vulnerabilidades reveladas como objetivo en las herramientas fue de cero días, por lo tanto, FortiGuard Labs tenía cobertura existente para los siguientes CVE en el momento de la notificación:
CVE: CVE-2019-11510
Descripción: lectura de archivos arbitrarios de preautorización de Pulse Secure SSL VPN
Sig ID: 48342
Cobertura: IPS
CVE: CVE-2020-1472
Descripción: Escalada de privilegios de Microsoft Active Directory
Sig ID: 49499
Cobertura: IPS
CVE: CVE-2018-13379
Descripción: lectura de archivos arbitrarios de autenticación previa de Fortinet Fortigate SSL VPN
Sig ID: 48321
Cobertura: IPS
CVE: CVE-2018-15961
Descripción: RCE a través de Adobe ColdFusion (carga de archivos arbitrarios que se pueden usar para cargar un shell web JSP)
Sig ID: 47129
Cobertura: IPS
CVE: CVE-2018-15961
Descripción: RCE a través de Adobe ColdFusion (carga de archivos arbitrarios que se pueden usar para cargar un shell web JSP)
Sig ID: 47129
Cobertura: IPS
CVE: CVE-2019-0604
Descripción: RCE para Microsoft Sharepoint
Sig ID: 47918
Cobertura: IPS
CVE: CVE-2019-0708
Descripción: RCE de los servicios de escritorio remoto de Windows (RDS)
Sig ID: 47968
Cobertura: IPS
CVE: CVE-2019-11580
Descripción: Ejecución remota de código de Atlassian Crowd
Sig ID: 48192
Cobertura: IPS
CVE: CVE-2019-19781
Descripción: RCE de Citrix Application Delivery Controller y Citrix Gateway
Sig ID: 48653
Cobertura: IPS
CVE: CVE-2020-10189
Descripción: RCE para ZoHo ManageEngine Desktop Central
Sig ID: 48794
Cobertura: IPS
CVE: CVE-2014-1812
Descripción: Escalada de privilegios locales de Windows
Sig ID: 23982
Cobertura: FortiClient
CVE: CVE-2019-3398
Descripción: Ejecución remota de código autenticado por Confluence
Sig ID: 47983
Cobertura: IPS
CVE: CVE-2020-0688
Descripción: Ejecución remota de comandos en Microsoft Exchange
Sig ID: 48765
Cobertura: IPS
CVE: CVE-2016-0167
Descripción: escalamiento de privilegios local en versiones anteriores de Microsoft Windows
Sig ID: 42285
Cobertura: IPS
CVE: CVE-2017-11774
Descripción: RCE en Microsoft Outlook a través de la ejecución de documentos diseñados (phishing)
Sig ID: 48144
Cobertura: IPS
CVE: CVE-2018-8581
Descripción: Escalada de privilegios de Microsoft Exchange Server
Sig ID: 47347
Cobertura: IPS
CVE: CVE-2019-8394
Descripción: Carga arbitraria de archivos de autorización previa a ZoHo ManageEngine ServiceDesk Plus
Sig ID: 48988
Cobertura: IPS
Mitigaciones adicionales
Una de estas vulnerabilidades específicas incluye una vulnerabilidad de Fortinet resuelta hace más de 18 meses. Reiteramos la urgencia dada anteriormente para implementar las mitigaciones descritas en el aviso original FG-IR-18-384 / CVE-2018-13379 y en este blog.
Es fundamental contar con procesos para monitorear las actualizaciones de seguridad de todos sus productos y aplicaciones, y tomar medidas inmediatas cuando se anuncien tales vulnerabilidades, en particular para los servicios de Internet.
Para ayudar en este proceso, Fortinet ha pasado a un proceso de notificación de vulnerabilidades mensual que les da a los clientes un día cada mes para enfocarse en las actualizaciones urgentes. Consulte aquí para obtener detalles sobre cómo recibir actualizaciones mensuales y críticas fuera de ciclo.
Para obtener detalles sobre la Política PSIRT de Fortinet y para informar una vulnerabilidad, consulte la Política PSIRT de Fortinet .
Fuente: Blog de Fortinet