Por: Carl Windsor

Resumen Ejecutivo

Crédito: Pexels

El 8 de diciembre seguridad cibernética proveedor FireEye reportó una violación de su red y los datos exfiltración que incluía sus herramientas Team Red desarrollados internamente. FireEye dio el paso de publicar detalles de estas herramientas en un repositorio de GitHub para permitir que otros proveedores se protejan contra su uso por posibles adversarios.

Esta violación se ha atribuido a un actor de amenazas de un estado nacional, por lo que no esperamos que se abuse de estas herramientas en la naturaleza; sin embargo, con la información adicional proporcionada por FireEye, Fortinet ha podido garantizar que estas herramientas no puedan ser abusadas.

Mitigación de amenazas

Ninguna de las vulnerabilidades reveladas como objetivo en las herramientas fue de cero días, por lo tanto, FortiGuard Labs tenía cobertura existente para los siguientes CVE en el momento de la notificación:

CVE: CVE-2019-11510

Descripción: lectura de archivos arbitrarios de preautorización de Pulse Secure SSL VPN

Sig ID: 48342

Cobertura: IPS

CVE: CVE-2020-1472

Descripción: Escalada de privilegios de Microsoft Active Directory

Sig ID: 49499

Cobertura: IPS

CVE: CVE-2018-13379

Descripción: lectura de archivos arbitrarios de autenticación previa de Fortinet Fortigate SSL VPN

Sig ID: 48321

Cobertura: IPS

CVE: CVE-2018-15961

Descripción: RCE a través de Adobe ColdFusion (carga de archivos arbitrarios que se pueden usar para cargar un shell web JSP)

Sig ID: 47129

Cobertura: IPS

CVE: CVE-2018-15961

Descripción: RCE a través de Adobe ColdFusion (carga de archivos arbitrarios que se pueden usar para cargar un shell web JSP)

Sig ID: 47129

Cobertura: IPS

CVE: CVE-2019-0604

Descripción: RCE para Microsoft Sharepoint

Sig ID: 47918

Cobertura: IPS

CVE: CVE-2019-0708

Descripción: RCE de los servicios de escritorio remoto de Windows (RDS)

Sig ID: 47968

Cobertura: IPS

CVE: CVE-2019-11580

Descripción: Ejecución remota de código de Atlassian Crowd

Sig ID: 48192

Cobertura: IPS

CVE: CVE-2019-19781

Descripción: RCE de Citrix Application Delivery Controller y Citrix Gateway

Sig ID: 48653

Cobertura: IPS

CVE: CVE-2020-10189

Descripción: RCE para ZoHo ManageEngine Desktop Central

Sig ID: 48794

Cobertura: IPS

CVE: CVE-2014-1812

Descripción: Escalada de privilegios locales de Windows

Sig ID: 23982

Cobertura: FortiClient

CVE: CVE-2019-3398

Descripción: Ejecución remota de código autenticado por Confluence

Sig ID: 47983

Cobertura: IPS

CVE: CVE-2020-0688

Descripción: Ejecución remota de comandos en Microsoft Exchange

Sig ID: 48765

Cobertura: IPS

CVE: CVE-2016-0167

Descripción: escalamiento de privilegios local en versiones anteriores de Microsoft Windows

Sig ID: 42285

Cobertura: IPS

CVE: CVE-2017-11774

Descripción: RCE en Microsoft Outlook a través de la ejecución de documentos diseñados (phishing)

Sig ID: 48144

Cobertura: IPS

CVE: CVE-2018-8581

Descripción: Escalada de privilegios de Microsoft Exchange Server

Sig ID: 47347

Cobertura: IPS

CVE: CVE-2019-8394

Descripción: Carga arbitraria de archivos de autorización previa a ZoHo ManageEngine ServiceDesk Plus

Sig ID: 48988

Cobertura: IPS

Mitigaciones adicionales

Una de estas vulnerabilidades específicas incluye una vulnerabilidad de Fortinet resuelta hace más de 18 meses. Reiteramos la urgencia dada anteriormente para implementar las mitigaciones descritas en el aviso original FG-IR-18-384 / CVE-2018-13379 y en este blog.

Es fundamental contar con procesos para monitorear las actualizaciones de seguridad de todos sus productos y aplicaciones, y tomar medidas inmediatas cuando se anuncien tales vulnerabilidades, en particular para los servicios de Internet.

Para ayudar en este proceso, Fortinet ha pasado a un proceso de notificación de vulnerabilidades mensual que les da a los clientes un día cada mes para enfocarse en las actualizaciones urgentes. Consulte aquí para obtener detalles sobre cómo recibir actualizaciones mensuales y críticas fuera de ciclo.

Para obtener detalles sobre la Política PSIRT de Fortinet y para informar una vulnerabilidad, consulte la Política PSIRT de Fortinet .

Fuente: Blog de Fortinet