Investigadores del equipo de seguridad de Google denominado Project Zero han encontrado una vunerabilidad crítica en el kit de FireEye que permite a los atacantes acceder a las redes corporativas con el envío de un solo correo electrónico. La vulnerabilidad ha sido calificada como "666". El reputado investigador Tavis Ormandy describe la vulnerabilidad como un escenario de pesadilla.
Los parches por parte de FireEye no se han hecho esperar, y han lanzado actualizaciones para NX, FX y AX que son las cajas de FireEye. Estas soluciones de monitorización de tráfico se colocan a la salida de la red corporativa. Ormandy y su compañero de Google encontrar el defecto como parte de una investigación. El exploit es muy peligroso ya que el kit es vulnerable en su estado predeterminado. Según informa FireEye están prestando apoyo, incluso a los clientes cuyos contrados han vencido. ¿Cuál es el vector de ataque? Un atacante podría enviar un correo electrónico a un usuario de la organización protegida con esta solución y tener acceso a toda la red interna. El destinatario no tendría que leer el correo electrónico, simplemente recibiéndolo sería suficiente.
 |
| Figura 1: Esquema de los dispositivos FireEye que monitorizan tráfico |
Para explicar brevemente, el detalle puede visualizarse en un artículo publicado por la gente de Project Zero, decir que una organización instala un dispositivo FireEye en su red interna y se conecta a un puerto espejo en el punto de salida. Éstos están monitorizando puertos de los equipos de la red. El dispositivo FireEye monitoriza todo el tráfico de la red de forma pasiva. El seguimiento de protocolos comunes, como HTTP, FTP, SMTP, etcétera. Si se detecta una transferencia de archivos, por ejemplo un archivo de correo adjunto o una descarga HTTP, FireEye extrae el archivo y lo analiza en busca de malware.
En principio, si el usuario recibe un correo electrónico o visita un sitio web malicioso, el dispositivo de FireEye observa el tráfico y avisa al administrador de la red. La vulnerabilidad descubierta puede ser explotada a través de la interfaz de monitoreo pasivo, es decir, un atacante solo tiene que enviar un correo electrónico a un usuario para acceder a la red. En concreto se puede acceder a un tap de la red, que es una de las máquinas más privilegiadas de la red, ya que tiene acceso a correo de empleados, contraseñas, descargas, historial de navegación, archivos adjuntos confidenciales, es decir, todo lo importante de la organización.
 |
| Figura 2: Explotación de vulnerabilidad |
En algunas configuraciones, un atacante podría manipular el tráfico, o incluso, insertar puertas traseras. En los dispositivos vulnerables, se suele tener una interfaz secundaria conectada a Internet para las actalizaciones y la gestión, la cuestión es que podría ser una vía para propagar gusanos a través de Internet.
que terrible
ResponderEliminarBuena "info", pero hay que mejorar la ortografía...
ResponderEliminar