0-day бъг на Sophos Firewall e eксплоатиран със седмици

Китайски хакери използваха 0-day експлойт за уязвимост с критична сериозност в защитната стена на Sophos, за да компрометират компания и да нарушат хостваните в облак уеб сървъри, управлявани от жертвата.

Междувременно проблемът със сигурността беше отстранен, но различни хакери продължиха да го използват, за да заобиколят удостоверяването и да изпълняват произволен код отдалечено в множество организации.

На 25 март Sophos публикува съвет за сигурност относно CVE-2022-1040, уязвимост за заобикаляне на удостоверяване, която засяга потребителския портал и уеб администратора на защитната стена на Sophos и може да бъде използвана за изпълнение на произволен код от разстояние.

Три дни по-късно компанията предупреди, че хакерите използват проблема със сигурността, за да се насочат към няколко организации в региона на Южна Азия.

Тази седмица компанията за киберсигурност Volexity описа подробно атака от китайска група , която проследяват като DriftingCloud, която използва CVE-2022-1040 от началото на март, малко повече от три седмици преди Sophos да пусне корекция. Хакерите използват експлойта , за да компрометират защитната стена и да инсталира задни врати на уеб обвивката и зловреден софтуер, които биха позволили компрометиране на външни системи извън мрежата, защитена от защитната стена на Sophos.

DriftingCloud exploiting 0day in Sophos Firewall

Когато Volexity започна разследването, заплахата все още беше активна и изследователите можеха да наблюдават стъпките на атаката, разкривайки усъвършенстван противник, който положи усилия да остане неоткрит.

Изследователите отбелязват, че нападателят се е опитал да смеси трафика си чрез достъп до инсталираната уеб обвивка чрез заявки към легитимния файл „login.jsp“.

Навлизайки по-дълбоко, изследователите откриха, че нападателят използва рамката Behinder, която според тях е използвана и от други китайски APT групи, които експлоатират CVE-2022-26134 в сървърите на Confluence.

Получаване на достъп до уеб сървъри

Освен уеб обвивката, Volexity откри още злонамерена дейност, която осигури постоянство и позволи на групата да продължи атаката си:

  • Създаване на VPN потребителски акаунти и свързване на двойки сертификати на защитната стена за легитимен отдалечен достъп до мрежата
  • Записване на „pre_install.sh“ в „/conf/certificate/“
  • „pre_install.sh“ изпълнява злонамерена команда, за да изтегли двоичен файл, да го изпълни и след това да го изтрие от диска

Изследователите казват, че получаването на достъп до защитната стена на Sophos е първата стъпка от атаката, позволявайки на противника да извършва дейност MitM чрез модифициране на DNS отговори за конкретни уебсайтове, управлявани от компанията – жертва.

Изглежда, че нападателят е бил успешен в този опит, тъй като е осъществил достъп до администраторските страници на CMS, използвайки откраднати бисквитки за сесия и е инсталирал приставката за файловия мениджър за обработка на файлове на уебсайта (качване, изтегляне, изтриване, редактиране). След като получават достъп до уеб сървъра, DriftingCloud  инсталират PupyRAT, Pantegana и Sliver – три семейства злонамерен софтуер за отдалечен достъп, които са публично достъпни.

Откриване на подобни атаки

Volexity оценява, че хакерската група DrifitingCloud е достатъчно усъвършенствана, за да разработи  0-day уязвимости  или достатъчно добре финансирана, за да  закупи готов инструментариум и знания.

Sophos предостави актуални корекции, които автоматично адресират CVE-2022-1040, както и мерки за смекчаване, които помагат на организациите, използващи неговата защитна стена, да се предпазят от използване на уязвимостта.

За идентифициране на подобни атаки, Volexity препоръчва внедряване на механизми за наблюдение на мрежовата сигурност, които откриват и регистрират трафик от гейтуей устройства.

Компанията също така препоръчва използването на инструмента auditd на Unix-базирани сървъри за по-лесно разследване на пробиви. Доставчиците или периметровите устройства също трябва да предоставят методи за изследване на потенциални заплахи.

Източник: По материали от Интернет

Подобни публикации

27 септември 2023

Излязоха резултатите от оценката на MITRE ATT&a...

Задълбочените, независими тестове са жизненоважен ресурс за анализи...
26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
26 септември 2023

Разликите между локалната и облачната киберсигу...

Разликата между управлението на киберсигурността в локални и облачн...
26 септември 2023

Нов вариант на BBTok е насочен към над 40 банк...

Активна кампания за зловреден софтуер, насочена към Латинска Америк...
25 септември 2023

Правилата за API на TikTok затрудняват анализа ...

Според учени новите условия за достъп на изследователите до API на ...
Бъдете социални
Още по темата
22/09/2023

NCSC: Защо атаките за кибер...

44CON 2023 – Лондон – Според...
20/09/2023

Microsoft: Кибератаките "Pe...

Microsoft предупреждава, че глобална кампания за...
16/09/2023

Retool обвинява за нарушени...

Софтуерната компания Retool съобщава, че акаунтите...
Последно добавени
27/09/2023

Излязоха резултатите от оце...

Задълбочените, независими тестове са жизненоважен ресурс...
26/09/2023

WatchGuard получи най-висок...

WatchGuard е обявена за лидер в...
26/09/2023

WatchGuard с награда за отл...

Имаме удоволствието да споделим, че WatchGuard...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!