Ошибку нулевого дня Sophos Firewall использовали за несколько недель до исправления

Уязвимость в брандмауэре Sophos, впервые обнаруженная в конце марта и исправленная soon впоследствии он использовался китайской продвинутой постоянной угрозой (APT) за несколько недель до выпуска исправления, как сообщалось.

Исследователи из фирмы по кибербезопасности Volexity, злоумышленника, известного как DriftingCloud, с начала марта использовали CVE-2022-1040 против ряда неназванных объектов. Он использовал его для обхода аутентификации и запуска произвольного кода на конечных точках жертв. Уязвимость затрагивает пользовательский портал и веб-админку Sophos Firewall, а злоумышленникам удалось установить бэкдоры веб-шелла и другое вредоносное ПО.

На момент обнаружения компрометация все еще была активна, а субъект угрозы все еще перемещался по сети, что дало исследователям уникальное представление о работе APT. Вывод из этого наблюдения состоит в том, что группа была «сложной» и приложила доблестные усилия, чтобы остаться незамеченной.

Вредоносное ПО второй стадии

Среди прочего, группа смешала свой трафик, получив доступ к установленному веб-шеллу через запросы к легитимному файлу «login.jps», сообщает BleepingComputer.

«На первый взгляд может показаться, что это грубая попытка входа в систему, а не взаимодействие с бэкдором. Единственными реальными элементами, которые выглядели необычными в файлах журналов, были значения реферера и коды статуса ответа», — пояснила Volexity в своем отчете.

Получив доступ к целевой сети, злоумышленник перешел к установке трех различных семейств вредоносных программ — PupyRAT, Pantegana и Sliver. Все три используются для удаленного доступа и общедоступны.

Исправление для CVE-2022-1040 доступно уже несколько месяцев, и пользователям рекомендуется немедленно его исправить, учитывая, что его оценка серьезности составляет 9.8.

Это был напряженный квартал для команды Sophos, которая недавно исправила две уязвимости высокой степени серьезности в устройствах Sophos Unified Threat Management: CVE-2022-0386 и CVE-2022-0652.

Sophos — британский разработчик программного обеспечения для кибербезопасности и сетевой безопасности, ориентированный в основном на программное обеспечение для обеспечения безопасности для организаций со штатом до 5,000 сотрудников. Он был основан в 1985 году, но в конце 1990-х начал заниматься кибербезопасностью.

В 2019 году он был приобретен американской частной инвестиционной компанией Thoma Bravo примерно за 3.9 миллиарда долларов (7.40 доллара за акцию).

Via: BleepingComputer (открывается в новой вкладке)

Источник

предыдущий пост

Следующий пост

Keep Calm and Stay Smart

05:25

Наша команда ежегодно профессионально тестирует сотни программ, услуг и бизнес-стратегий с помощью наших собственных консультантов и группы бизнес-лидеров.

Мы тщательно выбираем решения с самым высоким соотношением затрат и выгод, которые просты в использовании, которые достойно интегрируются в любой тип организации и которые включают передовые функции, чтобы гарантировать, что вы будете оставаться на вершине своего бизнес-сектора.

Ошибку нулевого дня Sophos Firewall использовали за несколько недель до исправления

Обязательное программное обеспечение в 2024 году

Лучшие категории

Последние отзывы

Видео-тизер Samsung Galaxy Z Flip 5, в преддверии мероприятия Galaxy Unpacked, демонстрирует новый дизайн шарнира, варианты цвета

Twitter ограничивает количество личных сообщений, которые могут отправлять непроверенные пользователи

Мой любимый телефон на Android может делать то, чего не может мой iPhone 14 Pro Max

ChatGPT для Android запускается на следующей неделе, и вы можете предварительно зарегистрироваться прямо сейчас.

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A с Google TV и динамиками мощностью 20 Вт запущены в Индии: цена, характеристики

Эта съедобная батарея может питать мир диагностики и устойчивой энергетики