Οι ερευνητές ασφαλείας Tavis Ormandy και Natalie Silvanovich που εργάζονται στο Project Zero της Google ανακάλυψαν μια απλή μέθοδο που θέτει σε κίνδυνο την ασφάλεια των προϊόντων της FireEye, που παραδόξως, έχουν αναπτυχθεί για την προστασία δικτύων.
Σύμφωνα με τα ευρήματα των ερευνητών της Google, οι επιτιθέμενοι μπορούν να δημιουργήσουν κακόβουλα αρχεία ή να ξεγελάσουν τους χρήστες να κάνουν κλικ σε κακόβουλες συνδέσεις για να αξιοποιήσουν ένα σφάλμα στην ασφάλεια σε διάφορα προϊόντα ασφαλείας της FireEye.
Χρησιμοποιώντας αυτά τα σφάλματα, οι επιτιθέμενοι μπορούν να εκτελέσουν κακόβουλο κώδικα στις συσκευές της FireEye σαν εξαιρετικά προνομιακοί χρήστες mip (Malware Input Processor), αλλά μπορούν επίσης να αποκτήσουν και δικαιώματα διαχειριστή, αν χρειαστεί.
Οι ευάλωτες οι συσκευές της FireEye είναι οι σειρές εξοπλισμού ασφάλειας δικτύου NX, FX, AX και EX. Η εταιρεία έχει ήδη κυκλοφορήσει patches και δεσμεύτηκε να παρέχει βοήθεια ακόμα και στις επιχειρήσεις που έχει λήξει η σύμβαση υποστήριξης.
Όλες οι συσκευές που αναφέρονται παραπάνω είναι άκρως εξειδικευμένος εξοπλισμό που θα κάνει μόνο ένα πράγμα: ελέγχει την κίνηση στο Διαδίκτυο και προσπαθήσει να ανιχνεύσει κακόβουλο λογισμικό και άλλα είδη επιθέσεων.
Αυτό το είδος του εξοπλισμού συνήθως υπάρχει σε μεγάλα εταιρικά δίκτυα, και υπάρχει μεταξύ του εταιρικού Intranet και των εισερχόμενων/εξερχόμενων συνδέσεων στο Internet.
Οι συσκευές παρακολουθούν την κίνηση στο Διαδίκτυο σε ειδικά ports / πρωτόκολλα όπως HTTP, FTP, SMTP, και άλλα. Κάθε φορά που εντοπίζεται μεταφορά αρχείων, η συσκευή της FireEye παρακολουθήσει τα δεδομένα και σαρώνει για κακόβουλο λογισμικό ή άλλα γνωστά exploits.
Οι επιτιθέμενοι φέρεται να εκμεταλλεύονται αυτή την συμπεριφορά αποστέλνοντας κακόβουλα αρχεία JAR είτε ως συνημμένο ηλεκτρονικού ταχυδρομείου ή σαν αρχεία που φιλοξενούνται σε μια κακόβουλη ιστοσελίδα.
Η ευπάθεια είναι εξαιρετικά επικίνδυνη για δύο βασικούς λόγους. Κατ ‘αρχάς, η συσκευή έχει πρόσβαση σε όλα τα ευαίσθητα δεδομένα μιας επιχείρησης, και δεύτερο, η συσκευή διαθέτει επίσης μια δευτερεύουσα σύνδεση στο Internet, μέσω της οποία λαμβάνει αναβαθμίσεις του firmware. Η σύνδεση αυτή μπορεί να χρησιμοποιηθεί από τους επιτιθέμενους σαν backdoor για να υποκλέπτουν πληροφορίες από τα παραβιασμένα δίκτυα.
