Sophos Firewall zero-day bug utnyttet uker før reparasjon

En sårbarhet i Sophos-brannmuren, først oppdaget i slutten av mars og lappet soon ble etterpå utnyttet av en kinesisk avansert vedvarende trussel (APT), i ukene før oppdateringen ble utgitt, har rapporter avslørt.

Forskere fra cybersikkerhetsfirmaet Volexity, trusselaktøren, kjent som DriftingCloud, har utnyttet CVE-2022-1040 siden begynnelsen av mars, mot en rekke navngitte enheter. Den brukte den til å omgå autentisering og kjøre vilkårlig kode på ofrenes endepunkter. Feilen påvirker brukerportalen og webadminen til Sophos Firewall, og trusselaktørene klarte å installere webshell-bakdører og annen skadelig programvare.

I oppdagelsesøyeblikket var kompromisset fortsatt aktivt, og trusselaktøren beveget seg fortsatt rundt i nettverket, noe som ga forskerne en unik innsikt i driften av en APT. Konklusjonen av den observasjonen er at gruppen var "sofistikert" og at den gjorde en tapper innsats for å forbli uoppdaget.

Trinn to malware

Blant annet blandet gruppen trafikken sin ved å få tilgang til det installerte webshellet gjennom forespørsler til den legitime filen "login.jps", rapporterte BleepingComputer.

"Ved første øyekast kan dette se ut til å være et brute-force påloggingsforsøk i stedet for en interaksjon med en bakdør. De eneste virkelige elementene som dukket opp utenom det vanlige i loggfilene var henvisningsverdiene og responsstatuskodene,» forklarte Volexity i sin artikkel.

Etter å ha fått tilgang til målnettverket, flyttet trusselaktøren for å installere tre distinkte skadevarefamilier - PupyRAT, Pantegana og Sliver. Alle tre brukes for ekstern tilgang, og er offentlig tilgjengelig.

Reparasjonen for CVE-2022-1040 har vært tilgjengelig i flere måneder nå, og brukere anbefales å lappe opp umiddelbart, gitt at alvorlighetsgraden er 9.8.

Det har vært et travelt kvartal for Sophos-teamet, som nylig fikset to alvorlige sårbarheter i Sophos Unified Threat Management-enheter: CVE-2022-0386 og CVE-2022-0652.

Sophos er en UK-basert programvareutvikler for cybersikkerhet og nettverkssikkerhet, hovedsakelig fokusert på sikkerhetsprogramvare for organisasjoner med opptil 5,000 ansatte. Det ble grunnlagt i 1985, men dreide seg mot cybersikkerhet på slutten av 1990-tallet.

I 2019 ble det kjøpt opp av det USA-baserte private equity-selskapet Thoma Bravo for omtrent 3.9 milliarder dollar (7.40 dollar per aksje).

Via: BleepingComputer (åpnes i ny fane)

kilde