La société américaine de sécurité informatique FireEye a annoncé hier avoir été victime d'une cyberattaque hautement complexe.
FireEye a été victime d'une opération de piratage de grande envergure, vraisemblablement menée par les hackers d'un État rival employant des techniques jusqu'alors inédites.
C'est «l'une des attaques les plus notables des dernières années», les pirates ont réussi à s'emparer des outils de hacking, forcément très sensibles et d'un très haut niveau, qu'utilise la firme pour tester les défenses de sa clientèle, entreprises privées comme institutions gouvernementales.
Dans un billet sur son blog FireEye rend public une centaine de contre-mesures conçues pour contrer un éventuel usage malveillant des outils de sa «Red Team».
Elles prennent la forme de règles Snort, Yara, ClamAV et HXIOC.
FireEye ajoute à cela une liste de 16 vulnérabilités, notées de 6,5 à 10, sur lesquelles s’appuie sa Red Team. Une bonne partie de ces vulnérabilités permettent l’exécution de code à distance :
- CVE-2019-11510 – pre-auth arbitrary file reading from Pulse Secure SSL VPNs - CVSS 10.0
- CVE-2020-1472 – Microsoft Active Directory escalation of privileges - CVSS 10.0
- CVE-2018-13379 – pre-auth arbitrary file reading from Fortinet Fortigate SSL VPN - CVSS 9.8
- CVE-2018-15961 – RCE via Adobe ColdFusion (arbitrary file upload that can be used to upload a JSP web shell) - CVSS 9.8
- CVE-2019-0604 – RCE for Microsoft Sharepoint - CVSS 9.8
- CVE-2019-0708 – RCE of Windows Remote Desktop Services (RDS) - CVSS 9.8
- CVE-2019-11580 - Atlassian Crowd Remote Code Execution - CVSS 9.8
- CVE-2019-19781 – RCE of Citrix Application Delivery Controller and Citrix Gateway - CVSS 9.8
- CVE-2020-10189 – RCE for ZoHo ManageEngine Desktop Central - CVSS 9.8
- CVE-2014-1812 – Windows Local Privilege Escalation - CVSS 9.0
- CVE-2019-3398 – Confluence Authenticated Remote Code Execution - CVSS 8.8
- CVE-2020-0688 – Remote Command Execution in Microsoft Exchange - CVSS 8.8
- CVE-2016-0167 – local privilege escalation on older versions of Microsoft Windows - CVSS 7.8
- CVE-2017-11774 – RCE in Microsoft Outlook via crafted document execution (phishing) - CVSS 7.8
- CVE-2018-8581 - Microsoft Exchange Server escalation of privileges - CVSS 7.4
- CVE-2019-8394 – arbitrary pre-auth file upload to ZoHo ManageEngine ServiceDesk Plus - CVSS 6.5
Source : Blog FireEye