Търсене
Close this search box.

0-day бъг на Sophos Firewall e eксплоатиран със седмици

Китайски хакери използваха 0-day експлойт за уязвимост с критична сериозност в защитната стена на Sophos, за да компрометират компания и да нарушат хостваните в облак уеб сървъри, управлявани от жертвата.

Междувременно проблемът със сигурността беше отстранен, но различни хакери продължиха да го използват, за да заобиколят удостоверяването и да изпълняват произволен код отдалечено в множество организации.

На 25 март Sophos публикува съвет за сигурност относно CVE-2022-1040, уязвимост за заобикаляне на удостоверяване, която засяга потребителския портал и уеб администратора на защитната стена на Sophos и може да бъде използвана за изпълнение на произволен код от разстояние.

Три дни по-късно компанията предупреди, че хакерите използват проблема със сигурността, за да се насочат към няколко организации в региона на Южна Азия.

Тази седмица компанията за киберсигурност Volexity описа подробно атака от китайска група , която проследяват като DriftingCloud, която използва CVE-2022-1040 от началото на март, малко повече от три седмици преди Sophos да пусне корекция. Хакерите използват експлойта , за да компрометират защитната стена и да инсталира задни врати на уеб обвивката и зловреден софтуер, които биха позволили компрометиране на външни системи извън мрежата, защитена от защитната стена на Sophos.

DriftingCloud exploiting 0day in Sophos Firewall

Когато Volexity започна разследването, заплахата все още беше активна и изследователите можеха да наблюдават стъпките на атаката, разкривайки усъвършенстван противник, който положи усилия да остане неоткрит.

Изследователите отбелязват, че нападателят се е опитал да смеси трафика си чрез достъп до инсталираната уеб обвивка чрез заявки към легитимния файл „login.jsp“.

Навлизайки по-дълбоко, изследователите откриха, че нападателят използва рамката Behinder, която според тях е използвана и от други китайски APT групи, които експлоатират CVE-2022-26134 в сървърите на Confluence.

Получаване на достъп до уеб сървъри

Освен уеб обвивката, Volexity откри още злонамерена дейност, която осигури постоянство и позволи на групата да продължи атаката си:

  • Създаване на VPN потребителски акаунти и свързване на двойки сертификати на защитната стена за легитимен отдалечен достъп до мрежата
  • Записване на „pre_install.sh“ в „/conf/certificate/“
  • „pre_install.sh“ изпълнява злонамерена команда, за да изтегли двоичен файл, да го изпълни и след това да го изтрие от диска

Изследователите казват, че получаването на достъп до защитната стена на Sophos е първата стъпка от атаката, позволявайки на противника да извършва дейност MitM чрез модифициране на DNS отговори за конкретни уебсайтове, управлявани от компанията – жертва.

Изглежда, че нападателят е бил успешен в този опит, тъй като е осъществил достъп до администраторските страници на CMS, използвайки откраднати бисквитки за сесия и е инсталирал приставката за файловия мениджър за обработка на файлове на уебсайта (качване, изтегляне, изтриване, редактиране). След като получават достъп до уеб сървъра, DriftingCloud  инсталират PupyRAT, Pantegana и Sliver – три семейства злонамерен софтуер за отдалечен достъп, които са публично достъпни.

Откриване на подобни атаки

Volexity оценява, че хакерската група DrifitingCloud е достатъчно усъвършенствана, за да разработи  0-day уязвимости  или достатъчно добре финансирана, за да  закупи готов инструментариум и знания.

Sophos предостави актуални корекции, които автоматично адресират CVE-2022-1040, както и мерки за смекчаване, които помагат на организациите, използващи неговата защитна стена, да се предпазят от използване на уязвимостта.

За идентифициране на подобни атаки, Volexity препоръчва внедряване на механизми за наблюдение на мрежовата сигурност, които откриват и регистрират трафик от гейтуей устройства.

Компанията също така препоръчва използването на инструмента auditd на Unix-базирани сървъри за по-лесно разследване на пробиви. Доставчиците или периметровите устройства също трябва да предоставят методи за изследване на потенциални заплахи.

Източник: По материали от Интернет

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...
Бъдете социални
Още по темата
23/07/2024

САЩ налагат санкции на руск...

Правителството на САЩ наложи санкции на...
23/07/2024

Гърция пребори успешно въл...

Агенцията за поземлен регистър в Гърция...
20/07/2024

Akira Ransomware: Светкавич...

Изнудвачите от Akira вече са способни...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!