Bug zero-day Sophos Firewall dieksploitasi beberapa minggu sebelum diperbaiki

Kerentanan di Sophos Firewall, pertama kali ditemukan pada akhir Maret dan ditambal soon setelah itu, dieksploitasi oleh ancaman persisten lanjutan (APT) China, pada minggu-minggu sebelum patch dirilis, laporan telah mengungkapkan.

Peneliti dari perusahaan cybersecurity Volexity, aktor ancaman, yang dikenal sebagai DriftingCloud, mengeksploitasi CVE-2022-1040 sejak awal Maret, terhadap sejumlah entitas yang tidak disebutkan namanya. Itu digunakan untuk melewati otentikasi, dan menjalankan kode arbitrer pada titik akhir korban. Cacat tersebut memengaruhi Portal Pengguna dan Webadmin dari Sophos Firewall, dan pelaku ancaman berhasil memasang pintu belakang webshell dan malware lainnya.

Pada saat penemuan, kompromi masih aktif, dan pelaku ancaman masih bergerak di sekitar jaringan, memberikan para peneliti wawasan unik tentang pengoperasian APT. Kesimpulan dari pengamatan itu adalah bahwa kelompok itu "canggih" dan bahwa ia melakukan upaya yang berani untuk tetap tidak terdeteksi.

Malware tahap dua

Antara lain, grup memadukan lalu lintasnya dengan mengakses webshell yang diinstal melalui permintaan ke file sah "login.jps", BleepingComputer melaporkan.

“Pada pandangan pertama, ini mungkin tampak sebagai upaya login paksa alih-alih interaksi dengan pintu belakang. Satu-satunya elemen nyata yang muncul di luar kebiasaan dalam file log adalah nilai perujuk dan kode status respons, ”jelas Volexity dalam artikelnya.

Setelah mengakses jaringan target, pelaku ancaman pindah untuk menginstal tiga keluarga malware yang berbeda – PupyRAT, Pantegana, dan Sliver. Ketiganya digunakan untuk akses jarak jauh, dan tersedia untuk umum.

Perbaikan untuk CVE-2022-1040 telah tersedia selama berbulan-bulan sekarang, dan pengguna disarankan untuk segera menambal, mengingat skor keparahannya adalah 9.8.

Ini adalah kuartal yang sibuk bagi tim Sophos, yang baru-baru ini memperbaiki dua kerentanan tingkat tinggi di perangkat Manajemen Ancaman Terpadu Sophos: CVE-2022-0386 dan CVE-2022-0652.

Sophos adalah pengembang perangkat lunak keamanan siber dan keamanan jaringan yang berbasis di Inggris, yang sebagian besar berfokus pada perangkat lunak keamanan untuk organisasi dengan hingga 5,000 karyawan. Itu didirikan pada tahun 1985, tetapi berputar ke arah keamanan siber di akhir 1990-an.

Pada 2019, diakuisisi oleh perusahaan ekuitas swasta yang berbasis di AS, Thoma Bravo, dengan nilai sekitar $3.9 miliar ($7.40 per saham).

via: BleepingComputer (terbuka di tab baru)

sumber

Sebelumnya Pos

Posting berikutnya

Bug zero-day Sophos Firewall dieksploitasi beberapa minggu sebelum diperbaiki

Perangkat lunak yang harus dimiliki pada tahun 2024

Kategori teratas

Ulasan Terbaru

Video Teaser Samsung Galaxy Z Flip 5, Jelang Acara Galaxy Unpacked, Pamerkan Desain Engsel Baru, Pilihan Warna

Twitter membatasi jumlah DM yang dapat dikirim oleh pengguna yang tidak terverifikasi

Ponsel Android favorit saya dapat melakukan hal-hal yang tidak dapat dilakukan oleh iPhone 14 Pro Max saya

ChatGPT untuk Android akan diluncurkan minggu depan, dan Anda dapat melakukan pradaftar sekarang

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A Dengan Google TV, Pembicara 20W Diluncurkan di India: : Harga, Spesifikasi

Baterai yang dapat dimakan ini dapat menggerakkan dunia diagnostik dan energi berkelanjutan