Google heeft kritieke kwetsbaarheden in de apparatuur van het Amerikaanse beveiligingsbedrijf FireEye ontdekt waardoor een aanvaller het apparaat volledig kon overnemen. FireEye levert producten die het netwerkverkeer monitoren aan zowel overheden als bedrijven.

Als gebruikers een kwaadaardige website bezoeken of een besmette e-mail ontvangen kan het apparaat alarm slaan. "Voor netwerken die van FireEye-apparaten gebruikmaken, zou een kwetsbaarheid die via de passieve monitoringsinterface kan worden aangevallen een nachtmerrie zijn. Dit zou inhouden dat een aanvaller alleen een e-mail naar een gebruiker hoeft te versturen om toegang tot een permanente netwerktap te hebben. De ontvanger van de e-mail hoeft de e-mail niet eens te lezen, het ontvangen is voldoende", zegt Tavis Ormandy van Google Project Zero, het speciale team van hackers dat beveiligingsonderzoek naar allerlei producten uitvoert.

En die nachtmerrie blijkt in het geval van FireEye werkelijkheid te zijn geworden. Google ontdekte verschillende kwetsbaarheden waardoor het voldoende is om een e-mail naar een gebruiker te versturen of de gebruiker een link te laten openen om de FireEye-apparatuur volledig over te nemen. Deze apparaten nemen vaak een belangrijke plek in het netwerk in. Een aanvaller die het apparaat weet over te nemen kan vervolgens vertrouwelijke data stelen, verkeer manipuleren, zich lateraal door het netwerk bewegen en zelfs een internetworm zou zich via de kwetsbaarheid kunnen verspreiden.

Google waarschuwde FireEye en het bedrijf had binnen een paar uur een tijdelijke oplossing onder klanten uitgerold. Binnen twee dagen werd er een permanente oplossing aan klanten aangeboden (pdf). Daarop besloot Google details over de aanval en kwetsbaarheid te publiceren. Details over het gedeelte van de aanval waardoor een aanvaller op het beveiligingsapparaat zijn rechten kan verhogen zijn echter nog niet vrijgegeven.