Qualys檢視該公司1萬多家企業客戶網路,發現有7百多萬個執行個體,存在FireEye紅隊測試工具所利用的漏洞,包含CVE-2020-1472(Zerologon)等8項微軟產品漏洞。(示意圖,Original photo credit: Paul Felberbauer on unsplash)

安全研究人員指出,12月初FireEye遭竊取的紅隊測試工具可能已經被濫用,有數百萬裝置因此受到影響。

12月初FireEye公布網路遭國家支持的駭客組織駭入,駭客竊取了該公司模擬網路攻擊用以測試客戶環境的紅隊測試工具。另一方面,FireEye也證實內部網路發現SolarWinds公司遭植入後門程式Sunburst的Orion軟體。

上星期安全公司Qualys 檢視其1.5萬家企業客戶網路上的漏洞,發現有754萬個和FireEye紅隊測試工具有關、存在漏洞的執行個體(instance),散布於529萬臺不同的電腦資產中,顯示這套工具外流引發的可能攻擊面有多大。相較之下,其客戶公司網路上和SolarWinds有關的漏洞執行個體,則只有數百個。

FireEye的紅隊測試工具包含16項已知漏洞,但Qualys發現的700多萬個存在漏洞的執行個體中,99.84%和微軟產品的8項漏洞有關。

這8項漏洞皆為中高風險漏洞,包括代號Zerologon的Windows Netlogon權限升級漏洞、代號BlueKeep的Windows RDP的RCE漏洞、以及散布於Exchange、 SharePoint及Windows本機的中、高風險漏洞等。

不過一如FireEye當時強調這批漏洞並沒有零時差漏洞,意即都是已經有修補程式釋出的漏洞。微軟也都早期發布了更新版本。Qualys指出,這也意謂著定期更新軟體的重要性;只要更新到最新版本就能免於被駭。

安全公司同時呼籲企業關閉2019.4 到2020.2.1版的SolarWinds Orion直到安裝修補程式、對所有受影響的軟體和作業系統實施安全控制,並檢視網路內是否有惡意的Orion二進位檔以及其他入侵指標(Indicators of Compromise)。

熱門新聞


Advertisement