近日,国际知名安全厂商“FireEye”遭遇政府黑客入侵,其用于检测客户安全防御能力的红队评估工具(Red Team Tool)被盗。据FireEye公布信息所述“因为我们认为攻击者拥有这些工具,而且我们不知道攻击者是打算自己使用被盗工具还是公开披露这些工具”(we do not know whether the attacker intends to use the stolen tools themselves or publicly disclose them),因此FireEye公司对外预警了该事件。原文链接Unauthorized Access of FireEye Red Team Tools
FireEye官方说明(图片源自FireEye官网fireeye.com)
为防止泄露事件对网络安全造成威胁,FireEye公布了其红队评估工具实现的技术细节。据分析,FireEye红队评估工具能使用自动侦察的简单脚本如CobaltStrike 和 Metasploit之类的渗透框架,应用范围广,泄露危害大。庆幸的是其不包含0-day漏洞利用。
官网披露16个主要利用的漏洞详情如下:
FireEye官方说明(图片源自FireEye官网Github https://github.com/fireeye)
华为云安全团队根据其披露的信息发现,漏洞主要集中在Window系列Server OS及其组件(Outlook、Sharepoint等)以及Fortigate、ZoHo、Adobe Coldfusion、Confluence、Atlassian Crowd等软件或插件,主要是远程命令执行漏洞(Remote Command Execution),一旦被利用,会对系统造成极大危害。
建议使用了上述版本产品的企业、组织、个人尽快升级软件补丁至修复版本,以避免造成损失。
如果由于客观原因无法及时修复漏洞,华为云安全团队推荐使用安全产品对风险进行消减。以华为云安全服务为例,可使用如下方式获知是否有恶意攻击者对系统发起了攻击或嗅探,:
华为云企业主机安全服务(HSS)和Web应用防火墙(WAF)提供了对FireEye红队评估工具利用的便捷检测和防护,步骤如下:
华为云企业主机安全:
1、在需要检测和防护的云主机上,安装企业主机安全服务客户端(agent);
2、登陆服务的控制台,依次点击“防护列表”-“主机列表”,选择需要检测和修复的主机的“有风险”菜单,如下图:
3、在跳转后的页面依次点击“漏洞管理”-“Windows系统漏洞”-“手动检测”,开始检测主机是否存在该漏洞;如存在,漏洞会显示在列表里,点击“修复”按钮即可对漏洞进行修复,如下图:
华为云web应用防火墙:
- 选择要防护的服务器,开启WAF;
- 登录WAF控制台,在“防护配置”中把“web基础防护”状态设置为打开、模式选择为拦截,如下图:
- 点开2的“高级设置”,把“常规检测”状态打开,如下图:
每次严重漏洞的出现,华为云都会站在用户身边,第一时间响应,提供最新的防护手段。用户在使用华为云的过程中,如遇到任何安全相关的问题,都可随时联系我们,获取安全专家的帮助。
更多信息,可点击阅读原文:https://www.huaweicloud.com/product/hss.html
