Zero-day-bug van Sophos Firewall werd al weken vóór de oplossing uitgebuit

Een kwetsbaarheid in de Sophos Firewall, voor het eerst ontdekt eind maart en gepatcht soon daarna werd uitgebuit door een Chinese geavanceerde persistente dreiging (APT), in de weken voordat de patch werd uitgebracht, zo hebben rapporten onthuld.

Onderzoekers van cyberbeveiligingsbedrijf Volexity, de dreigingsactor, bekend als DriftingCloud, exploiteerden de CVE-2022-1040 sinds begin maart tegen een aantal niet nader genoemde entiteiten. Het gebruikte het om authenticatie te omzeilen en willekeurige code uit te voeren op de eindpunten van de slachtoffers. De fout treft de gebruikersportal en webadmin van Sophos Firewall, en de bedreigingsactoren zijn erin geslaagd webshell-backdoors en andere malware te installeren.

Op het moment van ontdekking was het compromis nog steeds actief en bewoog de dreigingsactor zich nog steeds rond het netwerk, waardoor de onderzoekers een uniek inzicht kregen in de werking van een APT. De conclusie van die observatie is dat de groep ‘geavanceerd’ was en dat ze een dappere poging deed om onopgemerkt te blijven.

Fase twee malware

De groep combineerde onder andere zijn verkeer door toegang te krijgen tot de geïnstalleerde webshell via verzoeken aan het legitieme bestand “login.jps”, meldde BleepingComputer.

“Op het eerste gezicht lijkt dit misschien een inlogpoging met brute kracht in plaats van een interactie met een achterdeur. De enige echte elementen die ongewoon in de logbestanden verschenen, waren de verwijzende waarden en de responsstatuscodes”, legde Volexity uit in zijn artikel.

Nadat hij toegang had gekregen tot het doelnetwerk, installeerde de bedreigingsacteur drie verschillende malwarefamilies: PupyRAT, Pantegana en Sliver. Alle drie worden gebruikt voor externe toegang en zijn openbaar beschikbaar.

De oplossing voor CVE-2022-1040 is al maanden beschikbaar en gebruikers wordt geadviseerd onmiddellijk een patch uit te voeren, aangezien de ernstscore een 9.8 is.

Het was een druk kwartaal voor het Sophos-team, dat onlangs twee ernstige kwetsbaarheden in Sophos Unified Threat Management-appliances heeft opgelost: CVE-2022-0386 en CVE-2022-0652.

Sophos is een in het Verenigd Koninkrijk gevestigde softwareontwikkelaar voor cyberbeveiliging en netwerkbeveiliging, die zich voornamelijk richt op beveiligingssoftware voor organisaties met maximaal 5,000 werknemers. Het werd opgericht in 1985, maar richtte zich eind jaren negentig op cyberbeveiliging.

In 2019 werd het overgenomen door de Amerikaanse private-equityfirma Thoma Bravo voor ongeveer $ 3.9 miljard ($ 7.40 per aandeel).

Via: BeginnersWeb (opent in nieuw tabblad)

bron

Vorige post

Zero-day-bug van Sophos Firewall werd al weken vóór de oplossing uitgebuit

Onmisbare software in 2024

Top categorieën

Laatste beoordelingen

Samsung Galaxy Z Flip 5 teaservideo, vooruitlopend op Galaxy Unpacked Event, pronkt met nieuw scharnierontwerp, kleuropties

Twitter beperkt het aantal DM's dat niet-geverifieerde gebruikers kunnen sturen

Mijn favoriete Android-telefoon kan dingen die mijn iPhone 14 Pro Max niet kan

ChatGPT voor Android wordt volgende week gelanceerd en u kunt zich nu vooraf registreren

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A met Google TV, 20W-luidsprekers gelanceerd in India: prijs, specificaties

Deze eetbare batterij zou de wereld van diagnostiek en duurzame energie van stroom kunnen voorzien