美网络武器失窃 15个漏洞详情 FireEye被盗网络武器库分析

12月8日，美国顶级安全公司FireEye发布公告称，其内部网络被“拥有一流网络攻击能力的国家”攻破，导致FireEye红队安全工具被盗。

火眼的官方描述

这次袭击与以往不同。入侵FireEye后，攻击者没有进行勒索或数据泄露等常规操作，而是直接窃取了安全工具包。但这样的攻击影响会更严重，会伤害到FireEye的客户和下游厂商，已经属于供应链攻击的范畴。

在这里，我们大胆猜测火眼这个安全事件可能影响了它的客户或者下游。整个事件可能会经过:第一，火眼的客户发现自己被火眼的工具攻击，推测工具被泄露。然后反馈给火眼，火眼进行应急调查和响应，最后宣布防御策略。

得知于闯404实验室及时跟进此安全事件，分析了火眼红队工具包中包含的一些漏洞，如下:

01

漏洞名称:

Microsoft Windows组策略首选项密码权限提升漏洞

CVE号码:

CVE-2014-1812

漏洞描述:

Windows Active Directory分发使用组策略首选项配置的密码的方式存在特权提升漏洞。利用此漏洞的经过身份验证的攻击者可能会解密密码，并使用它们来提升对域的权限。Windows Vista SP2，Windows Server 2008 SP2和r 2SP1，Windows7 SP1，Windows8，Windows8.1，Windows Server 2012Gold和R2受影响。

02

漏洞名称:

Windows RDP远程代码执行高风险漏洞

CVE号码:

CVE-2019-0708

漏洞描述:

BlueKeep是微软远程桌面协议中的一个高风险远程代码执行漏洞，该协议已经有了一个公共的metasploit脚本。

03

漏洞名称:

Microsoft Outlook安全功能绕过了漏洞

CVE号码:

CVE-2017-11774

漏洞描述:

当Microsoft Outlook不正确地处理内存中的对象时，存在安全功能旁路漏洞。成功利用此漏洞的攻击者可以执行任意命令。在文件共享攻击场景中，攻击者可能会提供专门设计的文档文件来利用此漏洞，然后诱使用户打开文档文件并与文档进行交互。

备注:

此漏洞可被用作网络钓鱼攻击。

04

漏洞名称:

Adobe ColdFusion文件上传会导致任意代码执行

CVE号码:

CVE-2018-15961

漏洞描述:

该漏洞是一个任意文件上传漏洞，攻击者可以上传jsp文件来实现代码执行。

05

漏洞名称:

Citrix应用程序交付控制器和Citrix网关远程代码执行漏洞

CVE号码:

CVE-2019-19781

漏洞描述:

此漏洞使远程攻击者能够轻松发送目录遍历请求并从系统配置文件中读取敏感信息，而无需用户身份验证和远程执行任意代码。

06

漏洞名称:

汇流路径穿越漏洞

CVE号码:

CVE-2019-3398

漏洞描述:

合流服务器和数据中心产品中的下载附件资源存在路径交叉漏洞。具有以下权限之一的攻击者可以上传服务器上任何目录中的文件，以实现远程代码执行:

向页面或博客添加附件可以创建一个新的空房间，该房间对某个空拥有管理员权限

07

漏洞名称:

大西洋人群未授权文件上传漏洞

CVE号码:

CVE-2019-11580

漏洞描述:

该漏洞是由Crowd pdkinstall插件允许的未授权上传造成的。攻击者可以上传恶意插件并通过插件执行命令。

08

漏洞名称:

富通SSL虚拟专用网中的未经授权的RCE等漏洞

CVE号码:

CVE-2018-13379

漏洞描述:

在blackhat2019上，安全研究机构Orange和Meh Chang披露了Fortinet的SSL VPN的许多漏洞，包括CVE-2018-13379，攻击者可以利用这些漏洞读取任意文件。

09

根据:

微软交换服务器远程命令执行漏洞

CVE号码:

CVE-2020-0688

漏洞描述:

攻击者可以在登录后欺骗目标服务器生成恶意序列化的ViewState数据，从而执行任意。net代码在Exchange控制面板web应用程序上运行。net反序列化。

10

漏洞名称:

脉冲安全SSL虚拟专用网不授权任意文件读取漏洞

CVE号码:

CVE-2019-11510

漏洞描述:

在blackhat2019上，安全研究机构Orange和Meh Chang披露了多个SSL VPN漏洞，其中包括Pulse Secure的多个漏洞，-2019-11510是一个任意文件读取漏洞。

11

漏洞名称:

Microsoft SharePoint远程代码执行漏洞

CVE号码:

CVE-2019-0604

漏洞描述:

此漏洞可导致windows系统服务器的远程命令执行，并可能完全控制服务器。攻击者可以将构造良好的请求传递给后端entityinstanceindencoder。decodeentiyinstanceid方法，因为该方法不处理传入的encodedId，也不限制XmlSerializer构造函数的类型参数，可以通过XmlSerializer直接反序列化，从而导致命令执行。

12

漏洞名称:

Zoho可管理性桌面中心远程代码执行漏洞

CVE号码:

CVE-2020-10189

漏洞描述:

当文件存储类的getChartImage函数处理恶意数据时，Zoho ManageEngine Desktop Central会反序列化恶意数据，从而导致远程代码执行。

13

漏洞名称:

Zoho管理服务台Plus中的任意文件上传漏洞

CVE号码:

CVE-2019-8394

漏洞描述:

在Zoho管理服务台Plus 10.0版本构建10012之前，存在任何文件上传漏洞，攻击者可以上传jsp文件来实现代码执行。

14

漏洞名称:

Windows Netlogon远程协议权限提升漏洞

CVE号码:

CVE-2020-1472

漏洞描述:

2020年9月11日，微软发布该补丁30天后，Secura安全研究人员发布了一篇名为“零登录:instantlybeedmainadminby subverting netlogoncrygraphy”的博客。该博客给出了一份白皮书，详细介绍了CVE-2020-1472漏洞的利用过程。利用此漏洞，未经身份验证的攻击者可以通过Netlogon远程协议连接到域控制服务器，以获得域管理员权限。

15

漏洞名称:

微软交换服务器中特权提升漏洞

CVE号码:

CVE-2018-8581

漏洞描述:

Microsoft Exchange服务器中存在权限提升漏洞。成功利用此漏洞的攻击者可以尝试模拟Exchange服务器的任何其他用户。拥有普通权限邮箱账号密码后，即可完成对其他用户邮箱收件箱的委托接管。

备注:

这是邮箱级别的横向渗透和授权漏洞。

结论

特别提醒:增加了这些相应的识别规则，了解于闯NDR产品。

结合近期网络安全形势，此次攻击可能成为全球新一波攻击的起点。此外，富士康最近被黑，勒索赎金2.3亿元。

由此可见，未来网络安全形势只会越来越严峻。复杂严谨的攻击方式，不断升级的攻击规模，自上而下的影响范围，都在提醒我们，没有绝对的网络安全。

面对不断上涨的进攻成本，不平等的攻防会让防守方更加被动。“网络安全的本质在于对抗，对抗的本质在于攻防两端的较量”。坚持“真攻真守”是认识于闯的永恒目标。我们将继续使用“真正的攻击和防御”来建立更强的安全能力。