Ранее в этом месяце стало известно о компрометации компании SolarWinds, и многие специалисты назвали эту атаку на цепочку поставок взломом года. Взломавшие SolarWinds хакеры заразили малварью платформу Orion, предназначенную для централизованного мониторинга и управления. В результате множество клиентов SolarWinds установили зараженную версию и, сами того не зная, впустили хакеров в свои сети. Среди пострадавших числятся технологические компании, местные органы власти, университеты, больницы, банки, операторы связи и многие другие.
Однако первой об этом инциденте сообщила компании FireEye, которая и сама стала жертвой данной вредоносной кампании. Тогда представители FireEye признали, что благодаря зараженному Orion, злоумышленники не только успешно проникли во внутреннюю сеть компании но и похитили проприетарные инструменты, которые FireEye использует для тестирования сетей своих клиентов.
Тогда компания обнародовала на GitHub индикаторы компрометации и контрмеры, которые должны помочь другим компаниям определить, не использовали ли хакеры какие-либо похищенные инструменты FireEye для взлома их сетей. Также подчеркивалось, что ни один из украденных инструментов не содержал 0-day эксплоитов, а похищенный инструментарий включал самые разные решения: от простых скриптов, используемых для автоматизации разведки, до крупных фреймворков, аналогичных CobaltStrike и Metasploit. Многие из них ранее уже были доступны сторонним специалистам.
Как теперь сообщают исследователи ИБ-компании Qualys, украденные у FireEye инструменты все же могут представлять опасность для многих. Аналитики компании пишут, что пентестинговый инструментарий FireEye эксплуатирует множество уязвимостей, в том числе 16 известных багов, затрагивающих продукты Pulse Secure, Microsoft, Fortinet, Atlassian, Citrix, Zoho и Adobe.
Исследователи Qualys уже обнаружили боле 7 500 000 уязвимых перед этими проблемами инстансов, которые были найдены среди 5 300 000 уникальных систем, принадлежащих более чем 15 000 клиентов Qualys.
При этом отчет компании гласит, что подавляющее большинство уязвимых экземпляров (99,84%) находятся в зоне риска из-за восьми критических и серьезных уязвимостей, связанных с продуктами Microsoft: CVE-2020-1472, CVE-2019-0604, CVE-2019-0708, CVE-2014-1812, CVE-2020-0688, CVE-2016-0167, CVE-2017-11774 и CVE-2018-8581.
Так как практически для всех уязвимостей, которыми пользуются инструменты FireEye, давно доступны патчи, эксперты компании призывают всех вспомнить о необходимости своевременной установки обновлений и обезопасить свои системы.