Trellix ha annunciato che è stato effettuato un accesso non autorizzato al codice sorgente interno di alcune parti del suo portafoglio prodotti. Il materiale interessato riguarda solo il codice di sviluppo dei prodotti e non include ambienti o dati dei clienti. Non vi sono indicazioni di modifiche dolose agli artefatti software rilasciati.
Trellix è un'azienda globale di sicurezza informatica nata nel 2022 dalla fusione di McAfee Enterprise e FireEye a seguito della loro acquisizione da parte di Symphony Technology Group. L'azienda fornisce soluzioni di rilevamento e risposta estesa (XDR), sicurezza degli endpoint, sicurezza della posta elettronica, intelligence delle minacce e risposta agli incidenti a imprese e organizzazioni governative di tutto il mondo.
Sebbene non vi siano prove di compromissione del cliente o di manomissione del software, l'accesso non autorizzato al codice sorgente dei fornitori di sicurezza informatica può fornire agli avversari avanzati informazioni che potrebbero essere utilizzate per sviluppare tecniche di rilevamento-evasione o accelerare la ricerca di vulnerabilità.
Potenziale di elusione del rilevamento attraverso l'analisi della logica interna e dell'euristica.
Accelerazione della scoperta di punti deboli o casi limite nei controlli difensivi.
Aumento del valore dell'intelligence per gli attori delle minacce che prendono di mira gli ambienti integrati con i prodotti Trellix.
Rischio strategico a lungo termine piuttosto che rischio di sfruttamento immediato.
Non è richiesta alcuna azione immediata da parte dei clienti, ma come precauzione le organizzazioni dovrebbero:
Continuare ad applicare gli aggiornamenti del prodotto.
Monitorare i comportamenti anomali.
Mantenere architetture di sicurezza di tipo defense-in-depth.
In risposta a questo incidente, Trellix ha intrapreso le seguenti azioni:
Coinvolgere le autorità di polizia
Collaborazione con i principali esperti forensidi terze parti
Analisi forense dei sistemi interessati
Esame completo dei repository di codice sorgente e dei registri di accesso pertinenti.
Completato un audit completo del ciclo di vita di sviluppo sicuro (SDLC), confermando che non è stato manomesso.
Esecuzione di revisioni di audit che confermano l'assenza di modifiche non autorizzate al codice sorgente.
Esecuzione della convalida degli artefatti software rilasciati e dei processi di distribuzione.
Sulla base delle indagini condotte fino ad oggi:
Non è stata identificata alcuna prova di modifica dolosa del codice sorgente.
Nessuna indicazione che il processo di rilascio o di distribuzione del codice sorgente sia stato compromesso
Nessuna prova dell'accesso agli ambienti dei clienti o ai dati dei clienti.
Nessuna prova che il codice sorgente a cui si è avuto accesso sia stato sfruttato.
Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più importanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa, mettetevi in contattoperscoprire come potete proteggere la vostra organizzazione.