事件概要
2020年12月8日,FireEye对外发布公告,称其网络被一个“具有一流网络攻击能力”的黑客组织攻破。该组织使用了一些未公开的高危手段窃取了公司内网中的一些安全工具, 对此,FireEye官方为客户和社区紧急发布了300多种对策。官方的部分公告内容如下:
列表如下:
漏洞补丁列表
该事件发生后,FireEye随即公布了相应的防护规则进行挽救,以防止大规模恶性事件的发生。根据给出的规则列表,可以识别出涉及的所有漏洞及其对应的补丁,具体的信息如下:
|
漏洞编号 |
漏洞名称 |
漏洞危险等级 |
|
|
CVE-2014-1812 |
Windows本地提权漏洞 |
高危 |
https://sec.sangfor.com.cn/security-vulnerability/detail?vuln_sfv=SF_2020_40429&lang=ZH-CN |
|
CVE-2016-0167 |
Microsoft Windows Win32k权限提升漏洞 |
高危 |
https://sec.sangfor.com.cn/security-vulnerability/detail?vuln_sfv=SF_2020_40930&lang=ZH-CN |
|
CVE-2017-11774 |
Microsoft Outlook 安全功能绕过漏洞 |
高危 |
https://sec.sangfor.com.cn/security-vulnerability/detail?vuln_sfv=SF_2020_40925&lang=ZH-CN |
|
CVE-2018-13379 |
Fortinet Fortigate SSL VPN任意文件读取漏洞 |
高危 |
https://sec.sangfor.com.cn/security-vulnerability/detail?vuln_sfv=SF_2019_07019&lang=ZH-CN |
|
CVE-2018-15961 |
Adobe ColdFusion(可用于上传JSP web shell的任意文件上传)远程代码执行漏洞(RCE) |
高危 |
https://sec.sangfor.com.cn/security-vulnerability/detail?vuln_sfv=SF_2019_11125&lang=ZH-CN |
|
CVE-2018-8581 |
Microsoft Exchange 服务器提权 |
中危 |
https://mp.weixin.qq.com/s/nIha2mEDjz7S3uHUGKL62w |
|
CVE-2019-0604 |
微软Sharepoint的远程代码执行漏洞(RCE) |
高危 |
https://sec.sangfor.com.cn/security-vulnerability/detail?vuln_sfv=SF_2020_25928&lang=ZH-CN |
|
CVE-2019-0708 |
Windows远程桌面服务(RDS)的远程代码执行漏洞(RCE) |
高危 |
https://mp.weixin.qq.com/s/wha1wAk6I8ca4v-G_FKkPw |
|
CVE-2019-11510 |
Pulse Secure SSL VPN远程代码执行漏洞 |
高危 |
https://sec.sangfor.com.cn/security-vulnerability/detail?vuln_sfv=SF_2020_30351&lang=ZH-CN |
|
CVE-2019-11580 |
Atlassian Crowd远程代码执行漏洞(RCE) |
高危 |
https://mp.weixin.qq.com/s/si3Sl_cswk_4AG2t_piZfw |
|
CVE-2019-19781 |
Citrix应用程序交付控制器和网关的远程代码执行漏洞(RCE) |
高危 |
https://mp.weixin.qq.com/s/GIcS7XvkXBWt2U7rgO-e4Q |
|
CVE-2019-3398 |
Confluence认证远程代码执行漏洞(RCE) |
高危 |
https://sec.sangfor.com.cn/security-vulnerability/detail?vuln_sfv=SF_2020_13138&lang=ZH-CN |
|
CVE-2019-8394 |
Zoho ManageEngine ServiceDesk Plus任意文件上传漏洞 |
中危 |
https://sec.sangfor.com.cn/security-vulnerability/detail?vuln_sfv=SF_2020_40923&lang=ZH-CN |
|
CVE-2020-0688 |
微软exchange远程命令执行漏洞 |
高危 |
https://mp.weixin.qq.com/s/J_JBlzH4jGEz7AvgYenhzw |
|
CVE-2020-10189 |
ZoHo ManageEngine桌面中心的远程代码执行漏洞(RCE) |
高危 |
https://sec.sangfor.com.cn/security-vulnerability/detail?vuln_sfv=SF_2020_25682&lang=ZH-CN |
|
CVE-2020-1472 |
微软活动目录Netlogon 特权提升漏洞 |
高危 |
https://mp.weixin.qq.com/s/xq6gwgomkE0ru3lR3EmDaw |
相关漏洞信息
1 CVE-2014-1812
Microsoft Windows Vista SP2,Windows Server 2008 SP2和R2 SP1,Windows 7 SP1,Windows 8,Windows 8.1和Windows Server 2012 Gold和R2中的组策略实现无法正确处理密码的分发,这允许远程身份验证的用户获取敏感的凭据信息,从而通过利用对SYSVOL共享的访问来获得特权。
补丁链接:
https://technet.microsoft.com/library/security/ms14-025
2 CVE-2016-0167
Microsoft Windows Vista SP2,Windows Server 2008 SP2和R2 SP1,Windows 7 SP1,Windows 8.1,Windows Server 2012 Gold和R2,Windows RT 8.1和Windows 10 Gold和1511中的内核模式驱动程序允许本地用户通过一个精心制作的应用程序获得特权,即“ Win32k特权提升漏洞”。
补丁链接:
http://technet.microsoft.com/security/bulletin/MS16-039
3 CVE-2017-11774
由于Microsoft Office 处理内存对象存在问题,导致攻击者可以通过Microsoft Outlook 2010 SP2, Outlook 2013 SP1 and RT SP1, and Outlook 2016这些版本来执行任意命令。
补丁链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11774
4 CVE-2018-13379
在SSL VPN Web页面中,Fortinet FortiOS 6.0.0到6.0.4、5.6.3到5.6.7和5.4.6到5.4.12中存在对路径名称的不正确限制,允许未经身份验证攻击者通过特殊的HTTP资源请求下载系统文件。
补丁链接:
https://fortiguard.com/psirt/FG-IR-18-384
5 CVE-2018-15961
Adobe ColdFusion版本7月12日发行版(2018.0.0.310739),Update 6和更早版本以及Update 14和更早版本具有不受限制的文件上传漏洞。成功的利用可能导致任意代码执行。
补丁链接:
https://helpx.adobe.com/security/products/coldfusion/apsb18-33.html
6 CVE-2018-8581
Microsoft Exchange Server中存在一个特权提升漏洞,也称为“ Microsoft Exchange Server特权提升漏洞”。
补丁链接:
https://msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8581
【漏洞预警】Microsoft Exchange 任意用户提权攻击预警
7 CVE-2019-0604
由于软件无法检查应用程序包的源标记,导致Microsoft SharePoint中存在一个远程执行代码漏洞。
补丁链接:
https://msrc.microsoft.com/update-guide/zh-CN/vulnerability/CVE-2019-0604
8 CVE-2019-0708
当未经身份验证的攻击者使用RDP连接到目标系统并发送经特殊设计的请求时,可以远程执行任意代码漏洞。
补丁链接:
https://msrc.microsoft.com/update-guide/zh-CN/vulnerability/CVE-2019-0708
【更新】RDP远程代码执行漏洞(CVE-2019-0708)攻击趋势分析
9 CVE-2019-11510
在8.2R12.1之前的Pulse Secure Pulse Connect Secure(PCS)8.2、8.3R7.1之前的8.3和9.0R3.4之前的9.0中,未经身份验证的远程攻击者可以发送特制的URI来执行任意文件读取漏洞。
补丁链接:
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101
10 CVE-2019-11580
Atlassian Crowd和Crowd Data Center在发行版本中错误地启用了pdkinstall开发插件。可以将未经身份验证或身份验证的请求发送到Crowd或Crowd Data Center实例的攻击者可以利用此漏洞安装任意插件,从而允许在运行存在漏洞的Crowd或Crowd Data Center版本的系统上远程执行代码。3.0.5之前的2.1.0版本(3.0.x的固定版本),3.1.0之前的3.1.0版本(3.1.x的固定版本),3.2。之前的3.2.0的所有版本的Crowd。8(3.2.x的固定版本),3.3.5之前的3.3.0版本(3.3.x的固定版本)和3.4.4之前的3.4.0版本(3.4.x的固定版本)受此漏洞影响。
补丁链接:
https://confluence.atlassian.com/x/3ADVOQ
【漏洞预警】Atlassian Crowd远程命令执行
11 CVE-2019-19781
在Citrix Application Delivery Controller(ADC)和网关10.5、11.1、12.0、12.1和13.0中存在目录遍历漏洞。
补丁链接:
https://support.citrix.com/article/CTX267679
【漏洞预警】Microsoft Exchange 任意用户提权攻击预警
12 CVE-2019-3398
Confluence Server和Data Center中具有路径遍历漏洞。有权向页面和/或博客添加附件或创建新空间或个人空间,或对空间具有“管理员”权限的远程攻击者可以利用此路径遍历漏洞将文件写入任意位置,从而导致在运行有漏洞的Confluence Server或Data Center版本的系统上远程执行代码。
补丁链接:
https://jira.atlassian.com/browse/CONFSERVER-58102
13 CVE-2019-8394
10.0 build 10012之前的Zoho ManageEngine ServiceDesk Plus(SDP)允许远程攻击者通过登录页面的自定义选项来上传任意文件。
补丁链接:
https://www.manageengine.com/products/service-desk/readme.html
14 CVE-2020-0688
当Microsoft Exchange软件无法正确处理内存中的对象时,它将存在一个远程执行代码漏洞。
补丁链接:
https://msrc.microsoft.com/update-guide/zh-CN/vulnerability/CVE-2020-0688
15 CVE-2020-10189
10.0.474之前的Zoho ManageEngine Desktop Central因为FileStorage类的getChartImage中对不可信反序列化数据的处理,从而导致了远程代码执行漏洞。
补丁链接:
https://www.manageengine.com/products/desktop-central/remote-code-execution-vulnerability.html
16 CVE-2020-1472
当攻击者使用Netlogon远程协议(MS-NRPC)建立与域控制器的易受攻击的Netlogon安全通道连接时,将存在特权提升漏洞。
补丁链接:
https://msrc.microsoft.com/update-guide/zh-CN/vulnerability/CVE-2020-1472
CVE-2020-1472 Netlogon权限提升漏洞分析
解决方案
1 修复建议
目前上述漏洞涉及的厂商都已发布升级补丁修复漏洞,请受影响用户及时更新官方补丁。
2 深信服解决方案
【深信服下一代防火墙】可轻松防御此类漏洞, 建议部署深信服下一代防火墙的用户更新至最新的版本,可轻松抵御此高危风险。
【深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此类高危风险。
【深信服安全感知平台】可检测利用该类漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。
【深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初,云端安全专家即对客户的网络环境进行漏洞扫描,保障第一时间检查客户的主机是否存在此类漏洞。对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此类漏洞风险。
【深信服安全云眼】在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。
注册地址:http://saas.sangfor.com.cn
【深信服云镜】在漏洞爆发第一时间即完成检测能力的发布,部署了云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响,避免被攻击者利用。离线使用云镜的用户需要下载离线更新包来获得漏洞检测能力,可以连接云端升级的用户可自动获得漏洞检测能力。
【深信服EDR】深信服EDR已全面覆盖对FireEye红队工具的检测,升级EDR病毒库至最新版本,开启实时监控,及时防御新威胁;
建议通过EDR下发打补丁功能及时修复系统高危漏洞,或使用EDR轻补丁版本,无需重启,一键防护常见高危漏洞,免费申请试用电话:400-806-6868
参考链接
https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
本文始发于微信公众号(深信服千里目安全实验室):FireEye网络武器库失窃 深信服发布解决方案
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论