FireEye被窃红队测试工具已影响数百万台企业装置

安全研究人员指出，12月初FireEye遭窃取的红队测试工具可能已经被滥用，有数百万装置因此受到影响。

12月初FireEye公布网络遭国家支持的骇客组织骇入，骇客窃取了该公司模拟网络攻击用以测试客户环境的红队测试工具。另一方面，FireEye也证实内部网络发现SolarWinds公司遭植入后门程式Sunburst的Orion软件。

上星期安全公司Qualys 检视其1.5万家企业客户网络上的漏洞，发现有754万个和FireEye红队测试工具有关、存在漏洞的执行个体（instance），散布于529万台不同的电脑资产中，显示这套工具外流引发的可能攻击面有多大。相较之下，其客户公司网络上和SolarWinds有关的漏洞执行个体，则只有数百个。

FireEye的红队测试工具包含16项已知漏洞，但Qualys发现的700多万个存在漏洞的执行个体中，99.84%和微软产品的8项漏洞有关。

这8项漏洞皆为中高风险漏洞，包括代号Zerologon的Windows Netlogon权限升级漏洞、代号BlueKeep的Windows RDP的RCE漏洞、以及散布于Exchange、 SharePoint及Windows本机的中、高风险漏洞等。

不过一如FireEye当时强调这批漏洞并没有零时差漏洞，意即都是已经有修补程式释出的漏洞。微软也都早期发布了更新版本。Qualys指出，这也意谓着定期更新软件的重要性；只要更新到最新版本就能免于被骇。

安全公司同时呼吁企业关闭2019.4 到2020.2.1版的SolarWinds Orion直到安装修补程式、对所有受影响的软件和操作系统实施安全控制，并检视网络内是否有恶意的Orion二进制档以及其他入侵指标（Indicators of Compromise）。