Dass ein Prozess, der privilegierte Ports nutzen möchte, root-Rechte benötigt, ist richtig. Wenn man sich jedoch den pastebin genauer anschaut, dann fallen weitere, bedenkliche Dinge auf.
Zum einen die "URL" für den "Hack":
https://fireeyeapp/script/NEI_ModuleDispatch.php?module=NEI_AdvancedConfig&function=HapiGetFileContents&name=../../../../../../../../../../../etc/passwd&extension=&category=operating%20system%20logs&mode=download&time=...&mytoken=...
Hier werden relative Pfade genutzt und 11 Verzeichnisebenen nach oben gewandert - das sollte man als Sicherheitsfirma optimieren/verhindern können.
Und ich bin nicht sicher, ob die Daten vor dem pastebin manipuliert worden sind, aber schaut man in die /etc/passwd
root:aaaaa:16209:0:99999:7:::
bin:*:15628:0:99999:7:::
[...]
dann könnte man daraus schließen, dass das root-Passwort nicht "geshadowed" ist, schließlich steht da kein stern, sondern "aaaaa", so dass JEDER das root-passwort aus der /etc/passwd auslesen kann. Da ausgerechnet das root Passwort nicht in /etc/shadow ausgelagert ist (wie z.B. für "bin"), würde ich mutmaßen, FireEye hat von "Server-Hardening" nur begrenzt bis gar keine Ahnung. Wenn ein Sicherheitsunternehmen schon bei solch grundlegenden Themen versagt, würde ich deren Dienste nicht nutzen wollen.
Wenn all dies stimmen sollte, dann ist das schon krass unverantwortlich für eine Sicherheitsfirma. Wozu braucht man denn überhaupt über HTTP root Zugriff ... FireEye hätte gut daran getan, hier zu reagieren und zu patchen, statt sich jetzt so sehr zu blamieren und unsinnige Ausreden vorzuschieben.