Инструментами, украденными у FireEye, можно взломать миллионы устройств

Татьяна Никитина 24 Декабря 2020 - 11:40

...

Инструментами, украденными у FireEye, можно взломать миллионы устройств

Уязвимости, которые используют средства пентестинга, украденные у FireEye в результате атаки на ИТ-провайдера SolarWinds, до сих пор не пропатчены на миллионах устройств. В основном это восемь известных брешей в продуктах Microsoft, заплатки для которых и альтернативные меры защиты давно опубликованы.

О краже инструментария FireEye, предназначенного для тестирования систем на устойчивость к внешним угрозам, стало известно в начале текущего месяца. Позднее этот инцидент связали с масштабным заражением в результате атаки на ИТ-сервис SolarWinds Orion.

Украденные у FireEye инструменты ориентированы на 16 известных уязвимостей в продуктах восьми вендоров — Pulse Secure, Microsoft, Fortinet, Adobe, Atlassian, Citrix, Zoho и Confluence. Ввиду риска злонамеренного использования этого арсенала эксперты Qualys решили оценить потенциальную площадь атаки по своей пользовательской базе.

Проведенное ими исследование выявило более 7,54 млн уязвимых копий продуктов, включенных в состав 5,29 млн уникальных систем. Подавляющее большинство уязвимых экземпляров софта (99,84%) — это продукты Microsoft, содержащие какую-либо из следующих уязвимостей:

CVE-2020-1472 в Windows-службе Netlogon — возможность повышения привилегий, известная как Zerologon; 10 баллов по шкале CVSS;
CVE-2019-0604 в Microsoft Sharepoint — удаленное исполнение кода; 9,8 балла по CVSS;
CVE-2019-0708 в службе удаленного рабочего стола Windows — возможность удаленного исполнения кода, известная как BlueKeep; 9,8 балла;
CVE-2014-1812 в реализации групповых политик Active Directory — возможность повышения привилегий, 9 баллов;
CVE-2020-0688 в Microsoft Exchange Server — удаленное исполнение кода, 8,8 балла;
CVE-2016-0167 в графическом компоненте Windows — локальное повышение привилегий, 7,8 балла;
CVE-2017-11774 в Microsoft Outlook — удаленное исполнение кода; 7,8 балла;
CVE-2018-8581 в Exchange Server — повышение привилегий, 7,4 балла.

Приводя этот скромный перечень, исследователи подчеркнули: установка недостающих патчей могла бы значительно сократить площадь атаки для инструментов FireEye.

Чтобы ускорить исправление ситуации, Qualys на два месяца откроет бесплатный доступ к своему сервису управления уязвимостями. Аналогичную услугу предлагает израильская компания Vulcan Cyber. Признаки компрометации пользователи могут выявить с помощью таких защитных решений, как EDR (Endpoint Detection and Response, система обнаружения сложных угроз на конечных точках) и FIM (File Integrity Monitoring, средство мониторинга целостности файлов).

Следующая главная новость »

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!

Михаил Дудченко 25 Февраля 2026 - 20:17

Уязвимости программ GenAI (генеративный искусственный интеллект) Малый и средний бизнес Корпорации Средства поиска уязвимостей SearchInform

43% использующих ИИ компаний ищут с его помощью уязвимости

Автоматизация рутины по-прежнему остаётся самым популярным сценарием использования ИИ в информационной безопасности. Но рынок постепенно идёт дальше. Как показал опрос «АМ Медиа», проведённый среди зрителей и участников эфира «Практика применения машинного обучения и ИИ в ИБ», почти половина компаний, уже использующих ИИ, применяют его для поиска уязвимостей и анализа защищённости.

Эфир стал продолжением предыдущей дискуссии о роли ИИ в кибербезопасности.

Если раньше речь шла в основном о теории и ожиданиях, то теперь эксперты обсуждали реальные кейсы: как выстроить пайплайн ИИ в ИБ, какие задачи он уже закрывает и какие решения действительно работают у заказчиков.

Судя по результатам опроса, 64% компаний используют ИИ для автоматизации повседневных задач. Но на этом применение не ограничивается. 43% респондентов задействуют его для поиска уязвимостей и усиления защиты. 32% — для классификации и описания инцидентов, что особенно актуально при текущем объёме событий.

Около четверти применяют ИИ для первичного триажа в SOC и автоматизированного реагирования по сценариям. А 14% доверяют ему даже поведенческий анализ в антифроде.

CEO SolidSoft Денис Гамаюнов считает такие цифры закономерными: по его словам, поиск уязвимостей — «вполне нативная задача» для больших языковых моделей. Однако он напомнил о рисках: компании должны чётко понимать, где проходит граница между использованием инструмента и возможной утечкой конфиденциальных данных внешнему провайдеру.

Заместитель генерального директора по инновациям «СёрчИнформ» Алексей Парфентьев также отметил, что результаты выглядят реалистично. По его мнению, к вероятностным алгоритмам в блокирующих средствах защиты пока относятся с осторожностью, а большинство кейсов использования ИИ в ИБ всё же связано с управленческими и вспомогательными задачами.

Более оптимистичную позицию озвучил руководитель группы развития платформы SOC Yandex Cloud Дмитрий Руссак. По его словам, команда с самого начала активно тестировала LLM, а отдельные идеи удалось масштабировать на всю инфраструктуру. В итоге ИИ используется не только для автоматизации, но и для разбора алертов, управления доступами и поиска уязвимостей.

В целом эксперты сошлись во мнении: современные модели всё ещё страдают от нехватки контекста и специализированных знаний. Поэтому внедрять ИИ нужно аккуратно — с пониманием, какие данные он получает, какие доступы имеет и где требуется обязательный человеческий контроль.

Тем не менее тренд очевиден: ИИ в ИБ перестаёт быть экспериментом и всё чаще становится рабочим инструментом — не только для автоматизации, но и для реального усиления защиты.

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!