FireEye piraté : la boîte à outils de la Red Team exfiltrée
Des pirates ont accédé aux outils de la Red Team FireEye. L'éditeur s'organise face à la probabilité d'une exploitation malveillante.
De simples scripts, mais aussi des frameworks similaires à Metasploit ou Cobalt Strike. C'est ce qu'il y a - entre autres - dans la boîte à outils de la Red Team FireEye.
Voilà une quinzaine d'années que l'éditeur américain a constitué cette équipe interne. Sa fonction : mettre à l'épreuve la sécurité informatique des clients en simulant des attaques grâce auxdits outils.
FireEye en a publié certains, accessibles en particulier dans la distribution CommandoVM. Mais désormais, il craint que tout soit déballé. La raison : des pirates y ont eu accès dans le cadre d'une attaque survenue « récemment ».
Un communiqué du 8 décembre apporte des précisions. Il y est question d'une « combinaison de techniques jamais vue » chez FireEye et ses partenaires. Et de la probable implication d'un État-nation.
L'éditeur affirme ne pas avoir constaté de tentative d'exploitation de ses outils à des fins malveillantes. En prévision, il a toutefois publié une série de contre-mesures. Elles prennent la forme de règles Snort, Yara, ClamAV et HXIOC.
S'y adjoint une liste de 16 vulnérabilités - notées de 6,5 à 10 sur l'échelle CVSS - sur lesquelles s'appuie la Red Team. Une bonne partie ouvrent la voie à l'exécution de code à distance. Via SharePoint, Adobe ColdFusion, Atlassian Crowd ou encore Citrix Gateway.
Les pirates ont-ils pu accéder à d'autres informations ? FireEye assure que non. en tout cas pour ce qui concerne les « systèmes de stockage primaire hébergeant les données des clients ».
Photo d'illustration © Rawpixel.com - Adobe Stock
Sur le même thème
Voir tous les articles Cybersécurité