针对FireEye遭外泄的红队演练工具，思科列出了当中利用的16个漏洞CVE编号与Snort特征码，呼吁企业进行防范

资安厂商FireEye于12月8日表示遭到攻击，骇客不只企图找寻特定的用户资料，还对于该公司提供红队演练（Red Team）的工具下手。但对于防范这套工具日后可能会遭到滥用的情况，该公司在公告里表示，他们于GitHub提供相关的入侵指标（IoC）、Snort与Yara特征码等资讯，并强调他们提供的工具都是利用已知漏洞。但这些漏洞究竟为何？一般人若是直接从该公司的公告内容，其实不易得知。而对于此事，思科的威胁情报单位于9日整理了一份指南，列出遭外泄的工具里，所采用的漏洞CVE编号清单与Snort特征编号对照表，以供企业进行因应。

事实上，思科列出的清单，是来自于FireEye于GitHub上公开的资料，这套工具总共运用了16项漏洞。这些漏洞存在于视窗操作系统、网络安全设备、电子邮件系统、协作平台，以及身份验证系统等。FireEye依据这些漏洞的CVSS风险评估指标，由高至低列出这些漏洞编号与叙述。

而根据这些漏洞所存在的软件和设备，我们将这16项漏洞归纳为下列类型：

1.Windows操作系统

CVE-2020-1472：又称Zerologon，可提升AD权限，CVSS风险指标为10分
CVE-2019-0708：又称BlueKeep，Windows远端桌面服务（RDS）的RCE漏洞，CVSS风险指标为9.8分
CVE-2014-1812：Windows本机权限提升漏洞，CVSS风险指标为9.0分
CVE-2016-0167：Windows本机权限提升漏洞，CVSS风险指标为7.8分

2.网络安全设备

CVE-2019-11510：Pulse Secure VPN任意档案读取漏洞，CVSS风险指标为10分
CVE-2018-13379：FortiOS SSL VPN任意档案读取漏洞，CVSS风险指标为9.8分
CVE-2019-19781：Citrix ADC、Citrix Gateway、Citrix SD-WAN WANOP的RCE漏洞，CVSS风险指标为9.8分

3.电子邮件应用系统

CVE-2020-0688：Microsoft Exchange的RCE漏洞，CVSS风险指标为9.8分
CVE-2017-11774：Microsoft Outlook邮件程式，能透过草稿文件执行的RCE漏洞，CVSS风险指标为7.8分
CVE-2018-8581：Microsoft Exchange权限提升漏洞，CVSS风险指标为7.4分

4.协作平台

CVE-2019-0604：Microsoft SharePoint的RCE漏洞，CVSS风险指标为9.8分
CVE-2019-3398：Confluence的RCE漏洞，CVSS风险指标为8.8分

5.网页应用程序建置工具

CVE-2018-15961：Adobe ColdFusion的RCE漏洞（借由任意档案上传弱点，来上传JSP档案的Web Shell发动攻击），CVSS风险指标为9.8分

6.身份验证管理

CVE-2019-11580：Atlassian Crowd的RCE漏洞，CVSS风险指标为9.8分

7.IT管理工具

CVE-2020-10189：Zoho ManageEngine Desktop Central的RCE漏洞，CVSS风险指标为9.8分
CVE-2019-8394：Zoho ManageEngine ServiceDesk Plus的任意档案读取漏洞，CVSS风险指标为6.5分

在FireEye提及他们遭到外泄的工具中，强调所使用的都是已知漏洞，而值得留意的是，上述演练工具利用的漏洞，也不少在今年出现攻击行动。骇客为何会如此食髓之味，屡屡利用这种已知漏洞发动攻击？很可能和许多企业尚未修补漏洞有关。

例如，今年4月资安业者Rapid7发现，微软在2月修补的CVE-2020-0688漏洞，仍有35万台Exchange服务器未修补，微软也在6月提出警告，表示他们发现有越来越多骇客滥用这项漏洞来攻击Exchange服务器；再者，大型邮轮业者Carnival于8月底遭到勒索软件攻击，传出原因很有可能与Citrix设备未修补CVE-2019-19781漏洞有关；11月下旬，有人在骇客论坛张贴近5万个未修补CVE-2018--13379漏洞的Fortinet SSL VPN设备名单，企图吸引想要发动攻击的买家。这也代表着企业修补这种重大漏洞，应该需要采取更为快速的策略，以避免在尚未修补的空窗期成为骇客下手攻击的对象。