ALERTE SOC Niveau 1
Attaque de Fire Eye :
Les précautions à prendre suite à la divulgation des techniques d'attaque de l'américain
L’entreprise américaine Fire Eye, annoncée comme leader en cyber sécurité, connue pour ses nombreuses actions contre les hackeurs de haut rang, a récemment été victime d’une attaque inédite de grande envergure.
Des outils utilisés par l’entreprise afin de tester les défenses de ses clients ont été dérobés par des pirates extrêmement bien organisés, potentiellement soutenus par un Etat. Cet évènement peut avoir des répercussions importantes sur votre business.
Quels risques pour votre activité ?
Les outils, codes et méthodologies volés (certaines techniques sont Opensources, d'autres ont été développées par Fire Eye) pourraient désormais être utilisés par les pirates, ou l'État soupçonné de les avoir soutenu, pour pénétrer les systèmes d’information de milliers d’entreprises.
Les méthodes exactes employées et la nature des outils volés sont encore floues. Cependant, les attaques de cette envergure nous rappellent à quel point il est important de vérifier régulièrement la robustesse des systèmes d’information de nos entreprises. Afin de limiter les dégâts causés et d’assurer la continuité des activités.
Comment s’en protéger ?
Les risques encourus par la plupart des entreprises peuvent être atténués en faisant des mises à jour et en appliquant les derniers patchs.
- Assurez-vous que les CVE (Common Vulnerabilities and Exposures) ci-dessous ont été corrigés le cas échéant.
- Consultez le GitHub de Fire Eye et mettez à jour toutes les règles de pare-feu applicables. https://github.com/fireeye/red_team_tool_countermeasures
Aussi, nous vous recommandons :
- De lancer régulièrement un scan de votre réseau. Le logiciel IKare, disponible en version d'essai gratuite75(8%), permet de détecter les vulnérabilités d'un système d'information selon les meilleures pratiques de vulnerability management.
- Une sauvegarde régulière des données, si possible sur un serveur externe
- D’effectuer les mises à jour nécessaires pour corriger des failles de sécurité.
Vous trouverez ci-dessous une liste des vulnérabilités à considérer, associées à une note de sécurité (CVSS 1-10, 10 indiquant le risque le plus élevé) ainsi qu'un lien vers les avis et les mises à jour/rapports correspondants * :
- CVE-2019-11510 – pre-auth arbitrary file reading from Pulse Secure SSL VPNs - CVSS 10.0
- CVE-2018-13379 – pre-auth arbitrary file reading from Fortinet Fortigate SSL VPN - CVSS 9.8
- CVE-2018-15961 – RCE via Adobe ColdFusion (arbitrary file upload that can be used to upload a JSP web shell) - CVSS 9.8
- CVE-2019-0604 – RCE for Microsoft Sharepoint - CVSS 9.8
- CVE-2019-11580 - Atlassian Crowd Code Execution - CVSS 9.8
- CVE-2019-19781 – RCE of Citrix Application Delivery Controller and Citrix Gateway - CVSS 9.8
- CVE-2019-3398 – Confluence Authenticated Remote Code Execution - CVSS 8.8
- CVE-2020-0688 – Remote Command Execution in Microsoft Exchange - CVSS 8.8
- requires auth
- CVE-2018-8581 - Microsoft Exchange Server escalation of privileges - CVSS 7.4
- requires auth
- CVE-2020-10189 – RCE for ZoHo ManageEngine Desktop Central - CVSS 9.8 *
- CVE-2019-8394 – arbitrary pre-auth file upload to ZoHo ManageEngine ServiceDesk Plus- CVSS 6.5
Ces failles peuvent être identifiées facilement avec Ikare (téléchargement gratuit)
Si vous avez besoin d'aide pour corriger ces failles, appelez nous. ( 05.67.34.67.80 )
*sources : https://labs.bishopfox.com/home ( contenu en anglais ) - Le Monde
------------------------------
PROCEDURE D'ALERTE NIVEAU 1 - SOC ITRUST
Ce mail est un mail d'alerte provenant du centre de supervision sécurité d'ITrust. Nos équipes ont ou auraient détecté un événement important en lien avec vos activités ou qui pourrait impacter vos activités
La procédure d'alerte niveau 1 est appliquée aux entreprises ayant des relations commerciales avec ITrust. Il n'est pas nécessaire d'être client ITrust. Ce service est GRATUIT.
Des procédures d'alerte et de surveillance de niveau supérieur, et concernant l'analyse d'autres sources de données, sont délivrées aux clients d'ITrust abonnés au service.
Pour toute information, contactez nous au 05.67.34.67.80 ou à contact@itrust.fr
------------------------------