Précautions à prendre suite à la divulgation
des techniques d’attaque de FireEye
L’entreprise américaine Fire Eye, connue pour ses nombreuses actions contre les hackeurs de haut rang, a récemment été victime d’une attaque inédite de grande envergure.
Des outils utilisés par l’entreprise afin de tester les défenses de ses clients ont été dérobés par des pirates extrêmement bien organisés, potentiellement soutenus par un Etat. Cet évènement peut avoir des répercussions importantes sur votre business.
Quels risques pour votre activité ?
Les outils et méthodologies volés pourraient désormais être utilisés par les pirates, ou l’État soupçonné de les avoir soutenu, pour pénétrer les systèmes d’information de milliers d’entreprises.
Les méthodes exactes employées et la nature des outils volés sont encore floues. Cependant, les attaques de cette envergure nous rappellent à quel point il est important de vérifier régulièrement la robustesse des systèmes d’information de votre entreprises Afin de limiter les dégâts causés et d’assurer la continuité des activités.
Comment s’en protéger ?
Les risques encourus par la plupart des entreprises peuvent être atténués en faisant des mises à jour et en appliquant les derniers patchs.
- Assurez-vous que les CVE (Common Vulnerabilities and Exposures) ci-dessous ont été corrigés le cas échéant.
- Consultez le GitHub de Fire Eye et mettez à jour toutes les règles de pare-feu applicables. https://github.com/fireeye/red_team_tool_countermeasures
Aussi, nous vous recommandons
- De lancer régulièrement un scan de votre réseau. Le logiciel Rapid7 Nexpose permet de détecter les vulnérabilités d’un système d’information selon les meilleures pratiques de vulnerability management.
- Une sauvegarde régulière des données, si possible sur un serveur externe
- D’effectuer les mises à jour nécessaires pour corriger des failles de sécurité.
Vous trouverez ci-dessous une liste des vulnérabilités à considérer, associées à une note de sécurité (CVSS 1-10, 10 indiquant le risque le plus élevé) ainsi qu’un lien vers les avis et les mises à jour/rapports correspondants :
- CVE-2019-11510 – pre-auth arbitrary file reading from Pulse Secure SSL VPNs – CVSS 10.0
- CVE-2018-13379 – pre-auth arbitrary file reading from Fortinet Fortigate SSL VPN – CVSS 9.8
- CVE-2018-15961 – RCE via Adobe ColdFusion (arbitrary file upload that can be used to upload a JSP web shell) – CVSS 9.8
- CVE-2019-0604 – RCE for Microsoft Sharepoint – CVSS 9.8
- CVE-2019-11580 – Atlassian Crowd Remote Code Execution – CVSS 9.8
- CVE-2019-19781 – RCE of Citrix Application Delivery Controller and Citrix Gateway – CVSS 9.8
- CVE-2019-3398 – Confluence Authenticated Remote Code Execution – CVSS 8.8
- CVE-2020-0688 – Remote Command Execution in Microsoft Exchange – CVSS 8.8
- CVE-2018-8581 – Microsoft Exchange Server escalation of privileges – CVSS 7.4
- CVE-2020-10189 – RCE for ZoHo ManageEngine Desktop Central – CVSS 9.8
- CVE-2019-8394 – arbitrary pre-auth file upload to ZoHo ManageEngine ServiceDesk Plus – CVSS 6.5
Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram