Millones de dispositivos están expuestos a posibles ataques que explotan las vulnerabilidades utilizadas en las herramientas recientemente sustraídas a FireEye.

El proveedor de soluciones de seguridad y compliance Qualys dice haber identificado más de 7,5 millones de casos relacionados con vulnerabilidades asociadas a las herramientas robadas a FireEye y a las versiones comprometidas del producto SolarWinds Orion. Las instancias vulnerables fueron detectadas en casi 5.3 millones de activos únicos pertenecientes a los más de 15.000 clientes de Qualys.

Según señaló FireEye cuando anunció que agentes de amenaza habían abierto una brecha en sus sistemas y robado algunas de sus herramientas de evaluación Red Team, estas no explotan las vulnerabilidades de día cero, lo que significa que hay disponibles parches y mitigaciones para cada uno de los agujeros de seguridad. Por tal razón, ahora depende de las organizaciones afectadas asegurarse de que las vulnerabilidades han sido parcheadas.

Las herramientas FireEye sustraídas explotan 16 vulnerabilidades conocidas que afectan a productos de Pulse Secure, Microsoft, Fortinet, Atlassian, Citrix, Zoho y Adobe.

Qualys señaló que la gran mayoría de las instancias vulnerables (99,84%) están expuestas a ataques debido a ocho fallos críticos y de alta gravedad que afectan a los productos de Microsoft. Parchear estos problemas puede reducir significativamente la superficie de ataque.

Paralelamente, la empresa de orquestación para corrección de vulnerabilidades Vulcan Cyber también ha compartido un breve análisis de las vulnerabilidades de la herramienta FireEye. Tanto Qualys como Vulcan Cyber han puesto a disposición herramientas gratuitas y otros recursos que pueden ayudar a las organizaciones a solucionar los agujeros de seguridad.

FireEye anunció el 8 de diciembre que un actor de amenazas altamente sofisticadas, que algunos creen que está vinculado a Rusia, había violado su red corporativa y robado algunas de sus herramientas de hacking Red Team.

Pocos días después se descubrió que el ataque a FireEye estaba relacionado con una importante campaña de ciberespionaje dirigida al proveedor de soluciones de gestión y supervisión de TI con sede en Texas, SolarWinds, y a sus clientes. SolarWinds tiene 300.000 clientes en todo el mundo, incluyendo muchas empresas de alto perfil y organizaciones gubernamentales.

La empresa dice que hasta 18.000 clientes pueden haber sido afectados ya que los atacantes aparentemente sólo se dirigieron a los clientes de la plataforma de monitorización Orion, entregando actualizaciones troyanizadas para este producto.

Aunque diversas empresas importantes han acusado recibo del ataque, la mayoría asegura que el impacto ha sido limitado. Es posible que las organizaciones del gobierno de los Estados Unidos hayan sido más afectadas.

Vía | Diario TI