Resumen:
FireEye, una de las principales empresas de seguridad cibernética, informó acerca de una brecha y un ataque de exfiltración de datos en su herramienta de evaluación del Red Team el 8 de diciembre de 2020. Se cree que la brecha es el resultado de un ataque de amenaza persistente avanzada (APT) patrocinado por el estado. Los datos robados incluyen herramientas internas y personalizadas del Red Team y también de pruebas de intrusión. FireEye advirtió que las herramientas pueden ser potencialmente usadas por los atacantes contra otros objetivos.
El equipo de investigación de amenazas y respuesta de Hillstone Networks ha publicado las firmas para sus productos con el fin de protegerse de las amenazas de las herramientas del Red Team de FireEye. Hillstone Networks aconseja a los clientes que desplieguen las últimas firmas para obtener protecciones actualizadas.
Detalles del evento:
El 8 de diciembre de 2020, FireEye publicó el blog «Acceso no autorizado a las herramientas del Red Team de FireEye», revelando que un conjunto de amenaza persistente avanzada (APT) se infiltró en la red de FireEye y robó las herramientas del Red Team de FireEye. Las herramientas van desde simples scripts utilizados para automatizar el reconocimiento, hasta frameworks enteros que son similares a tecnologías disponibles públicamente como CobaltStrike y Metasploit. Puede leer el post del blog aquí.
Como FireEye declaró que no están seguros de las intenciones del atacante, han lanzado cientos de medidas preventivas para permitir a la comunidad de seguridad de la red protegerse contra las amenazas. Estas medidas de prevención están disponibles en GitHub.
Además, FireEye publicó 16 CVEs para sus herramientas, todas ellas vulnerabilidades conocidas de los últimos años.
Se han liberado parches para todos los CVEs anteriores. La lista de parches está en la figura 1. SE ACONSEJA A LOS CLIENTES QUE INSTALEN ESTOS PARCHES INMEDIATAMENTE.
Figura 1. Lista de parches para CVEs conocidos en las herramientas del Red Team de FireEye
- Hillstone Sistema de Prevención de Brechas de Seguridad (NIPS)
- Hillstone Firewall de Próxima Generación
- Hillstone CloudEdge
- Hillstone CloudHive
- Hillstone Sistema de Detección de Vulnerabilidades al Servidor (sBDS)
El Cloud Sandbox de Hillstone Networks ha sido actualizado para incluir la capacidad de detectar las amenazas en línea.
Equipo de investigación de seguridad de Hillstone
Como uno de los principales proveedores de soluciones de seguridad de redes y gestión de riesgos en las empresas, la protección de nuestros clientes de forma proactiva es nuestro objetivo más importante, por lo que hemos dedicado a los miembros del equipo de investigación de seguridad y recursos para descubrir las vulnerabilidades de los productos más utilizados. Continuaremos dedicando nuestros esfuerzos para salvaguardar la seguridad de la red global, en el borde, en el core, en el centro de datos y en la nube.