Trellix ha anunciado que se ha accedido sin autorización al código fuente interno de partes de su cartera de productos. El material afectado se refiere únicamente a código de desarrollo de productos y no incluye entornos de clientes ni datos de clientes. No hay indicios de modificación maliciosa de los artefactos de software liberados.
Trellix es una empresa global de ciberseguridad creada en 2022 mediante la fusión de McAfee Enterprise y FireEye tras su adquisición por Symphony Technology Group. La compañía proporciona soluciones de detección y respuesta extendidas (XDR), seguridad de endpoints, seguridad de correo electrónico, inteligencia de amenazas y respuesta a incidentes a empresas y organizaciones gubernamentales de todo el mundo.
Aunque no hay pruebas de que se haya puesto en peligro la seguridad del cliente o se haya manipulado el software, el acceso no autorizado al código fuente de los proveedores de ciberseguridad puede proporcionar a los adversarios avanzados información que podrían utilizar para desarrollar técnicas de detección y evasión o para acelerar la investigación de vulnerabilidades.
Posibilidad de eludir la detección mediante el análisis de la lógica interna y la heurística.
Descubrimiento acelerado de puntos débiles o casos extremos en los controles defensivos.
Aumento del valor de la inteligencia para los actores de amenazas que tienen como objetivo entornos integrados con productos Trellix.
Riesgo estratégico a largo plazo en lugar de riesgo de explotación inmediata.
No se requiere ninguna acción inmediata por parte de los clientes, pero como medida de precaución, las organizaciones deberían:
Continuar aplicando las actualizaciones del producto.
Vigilar los comportamientos anómalos.
Mantener arquitecturas de seguridad de defensa en profundidad.
En respuesta a este incidente, Trellix ha tomado las siguientes medidas:
Contactar con las autoridades policiales
Colaboración con los principales expertos forenses externos
Análisis forense de los sistemas afectados
Revisión exhaustiva de los repositorios de código fuente y los registros de acceso pertinentes.
Realización de una auditoría completa del ciclo de vida de desarrollo seguro (SDLC), confirmando que no ha sido manipulado.
Realización de revisiones de auditoría que confirmen la ausencia de cambios no autorizados en el código fuente.
Validación de los artefactos de software liberados y de los procesos de distribución.
Según la investigación realizada hasta la fecha:
No se han identificado pruebas de modificaciones malintencionadas del código fuente.
No hay indicios de que el proceso de publicación o distribución del código fuente se haya visto afectado.
No hay pruebas de que se haya accedido a entornos o datos de clientes.
No hay pruebas de que se haya explotado el código fuente al que se ha accedido.
Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente, póngase en contactoparaaveriguar cómo puede proteger su organización.