Sophos Firewall zero-day bug na pinagsamantalahan ilang linggo bago ayusin

Isang kahinaan sa Sophos Firewall, unang natuklasan noong huling bahagi ng Marso at na-patch soon pagkatapos, ay pinagsamantalahan ng isang Chinese advanced persistent threat (APT), sa mga linggo bago ang patch ay inilabas, ang mga ulat ay nagsiwalat.

Sinamantala ng mga mananaliksik mula sa cybersecurity firm na Volexity, ang threat actor, na kilala bilang DriftingCloud, ang CVE-2022-1040 mula noong unang bahagi ng Marso, laban sa ilang hindi pinangalanang entity. Ginamit ito upang i-bypass ang pagpapatunay, at magpatakbo ng arbitrary code sa mga endpoint ng mga biktima. Ang kapintasan ay nakakaapekto sa User Portal at Webadmin ng Sophos Firewall, at ang mga aktor ng pagbabanta ay nakapag-install ng mga backdoor ng webshell at iba pang malware.

Sa sandali ng pagtuklas, aktibo pa rin ang kompromiso, at gumagalaw pa rin ang aktor ng pagbabanta sa network, na nagbibigay sa mga mananaliksik ng natatanging pananaw sa pagpapatakbo ng isang APT. Ang konklusyon ng obserbasyon na iyon ay ang grupo ay "sopistikado" at gumawa ito ng isang magiting na pagsisikap na manatiling hindi natukoy.

Ikalawang yugto ng malware

Sa iba pang mga bagay, pinaghalo ng grupo ang trapiko nito sa pamamagitan ng pag-access sa naka-install na webshell sa pamamagitan ng mga kahilingan sa lehitimong file na "login.jps", iniulat ng BleepingComputer.

“Sa unang tingin, ito ay maaaring mukhang isang brute-force na pagtatangka sa pag-log in sa halip na isang pakikipag-ugnayan sa isang backdoor. Ang tanging tunay na mga elemento na lumitaw nang hindi karaniwan sa mga file ng log ay ang mga halaga ng referrer at ang mga code ng status ng tugon, "paliwanag ni Volexity sa pagsulat nito.

Matapos ma-access ang target na network, lumipat ang aktor ng banta upang mag-install ng tatlong natatanging pamilya ng malware - PupyRAT, Pantegana, at Sliver. Ang tatlo ay ginagamit para sa malayuang pag-access, at magagamit sa publiko.

Ang pag-aayos para sa CVE-2022-1040 ay magagamit nang ilang buwan na ngayon, at ang mga gumagamit ay pinapayuhan na mag-patch up kaagad, dahil ang kalubhaan ng marka nito ay 9.8.

Naging abalang quarter ito para sa koponan ng Sophos, na kamakailan ay nag-ayos ng dalawang kahinaan sa Sophos Unified Threat Management appliances: CVE-2022-0386 at CVE-2022-0652.

Ang Sophos ay isang cybersecurity at network security software developer na nakabase sa UK, na nakatuon sa karamihan sa software ng seguridad para sa mga organisasyong may hanggang 5,000 empleyado. Itinatag ito noong 1985, ngunit umikot patungo sa cybersecurity noong huling bahagi ng 1990s.

Noong 2019, ito ay nakuha ng pribadong equity firm na nakabase sa US, si Thoma Bravo, sa humigit-kumulang $3.9 bilyon ($7.40 bawat bahagi).

Sa pamamagitan ng: BleepingComputer (bubukas sa bagong tab)

pinagmulan

nakaraang Post

susunod na Post

Sophos Firewall zero-day bug na pinagsamantalahan ilang linggo bago ayusin

Dapat magkaroon ng software sa 2024

Nangungunang mga kategorya

Pinakabagong mga review

Samsung Galaxy Z Flip 5 Teaser Video, Nauna sa Galaxy Unpacked Event, Nagpapakita ng Bagong Disenyo ng Bisagra, Mga Opsyon sa Kulay

Nililimitahan ng Twitter ang bilang ng mga DM na hindi na-verify na mga user na maaaring ipadala

Nagagawa ng paborito kong Android phone ang mga bagay na hindi kaya ng iPhone 14 Pro Max ko

Ang ChatGPT para sa Android ay ilulunsad sa susunod na linggo, at maaari kang mag-preregister ngayon

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A Gamit ang Google TV, 20W Speaker Inilunsad sa India: : Presyo, Mga Detalye

Mapapagana ng nakakain na bateryang ito ang mundo ng mga diagnostic at napapanatiling enerhiya