Napaka brez dneva požarnega zidu Sophos je bila izkoriščena tedne pred popravkom

Ranljivost v požarnem zidu Sophos, ki je bila prvič odkrita konec marca in popravljena soon pozneje je izkoriščala kitajska napredna vztrajna grožnja (APT) v tednih pred izdajo popravka, so razkrila poročila.

Raziskovalci iz podjetja za kibernetsko varnost Volexity, akterja grožnje, znanega kot DriftingCloud, so izkoriščali CVE-2022-1040 od začetka marca proti številnim neimenovanim entitetam. Uporabil ga je za obhod avtentikacije in zagon poljubne kode na končnih točkah žrtev. Napaka vpliva na uporabniški portal in spletnega skrbnika požarnega zidu Sophos, akterjem groženj pa je uspelo namestiti stranska vrata spletne lupine in drugo zlonamerno programsko opremo.

V trenutku odkritja je bil kompromis še vedno aktiven in akter grožnje se je še vedno premikal po omrežju, kar je raziskovalcem omogočilo edinstven vpogled v delovanje APT. Zaključek te ugotovitve je, da je bila skupina "prefinjena" in da si je hrabro prizadevala, da bi ostala neodkrita.

Druga stopnja zlonamerne programske opreme

Med drugim je skupina združila svoj promet tako, da je dostopala do nameščene spletne lupine prek zahtev do legitimne datoteke "login.jps", poroča BleepingComputer.

»Na prvi pogled se lahko zdi, da gre za poskus prijave na silo namesto interakcije z zadnjimi vrati. Edini resnični elementi, ki so se pojavili nenavadno v dnevniških datotekah, so bile vrednosti napotitelja in statusne kode odgovora,« je Volexity pojasnil v svojem zapisu.

Po dostopu do ciljnega omrežja je akter grožnje namestil tri različne družine zlonamerne programske opreme – PupyRAT, Pantegana in Sliver. Vse tri se uporabljajo za oddaljen dostop in so javno dostopne.

Popravek za CVE-2022-1040 je na voljo že več mesecev in uporabnikom svetujemo, da ga nemudoma popravijo, saj je njegova ocena resnosti 9.8.

To četrtletje je bilo naporno za ekipo Sophos, ki je nedavno odpravila dve zelo resni ranljivosti v napravah Sophos Unified Threat Management: CVE-2022-0386 in CVE-2022-0652.

Sophos je razvijalec programske opreme za kibernetsko in omrežno varnost s sedežem v Združenem kraljestvu, ki se osredotoča predvsem na varnostno programsko opremo za organizacije z do 5,000 zaposlenimi. Ustanovljena je bila leta 1985, vendar se je v poznih devetdesetih letih prejšnjega stoletja usmerila v kibernetsko varnost.

Leta 2019 ga je kupila ameriška družba zasebnega kapitala Thoma Bravo za približno 3.9 milijarde dolarjev (7.40 dolarja na delnico).

Via: BleepingComputer (odpre se v novem zavihku)

vir

prejšnja Post

Naslednja objava

Napaka brez dneva požarnega zidu Sophos je bila izkoriščena tedne pred popravkom

Programska oprema, ki jo morate imeti v letu 2024

Najboljše kategorije

Najnovejša mnenja

Samsung Galaxy Z Flip 5 Teaser Video, pred dogodkom Galaxy Unpacked, prikazuje nov dizajn tečajev, barvne možnosti

Twitter omejuje število DM-jev, ki jih lahko pošljejo nepreverjeni uporabniki

Moj najljubši telefon Android zmore stvari, ki jih moj iPhone 14 Pro Max ne zmore

ChatGPT za Android bo na voljo naslednji teden in zdaj se lahko vnaprej registrirate

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A z Google TV, 20 W zvočniki predstavljeni v Indiji: : Cena, Specifikacije

Ta užitna baterija bi lahko poganjala svet diagnostike in trajnostne energije