Error de día cero de Sophos Firewall explotado semanas antes de la corrección

Una vulnerabilidad en Sophos Firewall, descubierta por primera vez a fines de marzo y parcheada soon posteriormente, estaba siendo explotado por una amenaza persistente avanzada china (APT), en las semanas previas al lanzamiento del parche, según han revelado los informes.

Investigadores de la firma de ciberseguridad Volexity, el actor de amenazas, conocido como DriftingCloud, explotó el CVE-2022-1040 desde principios de marzo contra varias entidades no identificadas. Lo usó para eludir la autenticación y ejecutar código arbitrario en los puntos finales de las víctimas. La falla afecta el portal de usuario y el administrador web de Sophos Firewall, y los actores de amenazas lograron instalar puertas traseras webshell y otro malware.

En el momento del descubrimiento, el compromiso aún estaba activo y el actor de la amenaza aún se movía por la red, lo que les dio a los investigadores una visión única del funcionamiento de una APT. La conclusión de esa observación es que el grupo era “sofisticado” y que hizo un valiente esfuerzo por pasar desapercibido.

Malware de segunda etapa

Entre otras cosas, el grupo mezcló su tráfico accediendo al webshell instalado a través de solicitudes al archivo legítimo "login.jps", informó BleepingComputer.

“A primera vista, esto podría parecer un intento de inicio de sesión de fuerza bruta en lugar de una interacción con una puerta trasera. Los únicos elementos reales que aparecieron fuera de lo común en los archivos de registro fueron los valores de referencia y los códigos de estado de respuesta”, explicó Volexity en su redacción.

Después de acceder a la red de destino, el actor de amenazas se movió para instalar tres familias de malware distintas: PupyRAT, Pantegana y Sliver. Los tres se utilizan para el acceso remoto y están disponibles públicamente.

La solución para CVE-2022-1040 ha estado disponible durante meses y se recomienda a los usuarios que la actualicen de inmediato, dado que su puntaje de gravedad es 9.8.

Ha sido un trimestre ajetreado para el equipo de Sophos, que recientemente corrigió dos vulnerabilidades de alta gravedad en los dispositivos de Sophos Unified Threat Management: CVE-2022-0386 y CVE-2022-0652.

Sophos es un desarrollador de software de ciberseguridad y seguridad de red con sede en el Reino Unido, que se centra principalmente en software de seguridad para organizaciones con hasta 5,000 empleados. Fue fundado en 1985, pero giró hacia la ciberseguridad a fines de la década de 1990.

En 2019, fue adquirida por la firma de capital privado con sede en EE. UU., Thoma Bravo, por aproximadamente $ 3.9 mil millones ($ 7.40 por acción).

Vía: BleepingComputer (se abre en una pestaña nueva)

Fuente

Publicación anterior

Publicación siguiente

Error de día cero de Sophos Firewall explotado semanas antes de la corrección

Software imprescindible en 2024

Categorías superiores

Últimas opiniones

El video teaser del Samsung Galaxy Z Flip 5, antes del evento Galaxy Unpacked, muestra un nuevo diseño de bisagra y opciones de color

Twitter está limitando la cantidad de DM que los usuarios no verificados pueden enviar

Mi teléfono Android favorito puede hacer cosas que mi iPhone 14 Pro Max no puede

ChatGPT para Android se lanzará la próxima semana y puede registrarse previamente ahora

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A con Google TV, altavoces de 20 W lanzados en India: Precio, especificaciones

Esta batería comestible podría impulsar el mundo del diagnóstico y la energía sostenible