Ошибку нулевого дня Sophos Firewall использовали за несколько недель до исправления
Ошибку нулевого дня Sophos Firewall использовали за несколько недель до исправления. Фото: СС0
Исследователи из фирмы по кибербезопасности Volexity сообщили о злоумышленнике DriftingCloud, который с начала марта использовал уязвимость CVE-2022-1040 против ряда неназванных объектов.
Хакер обходил аутентификацию и запускал произвольный код на конечных точках жертв. Уязвимость затрагивает пользовательский портал и веб-админку Sophos Firewall. Исследователи также сообщают, что злоумышленникам удалось установить бэкдоры веб-шелла и другое вредоносное ПО.
На момент обнаружения компрометация все еще была активна, а субъект угрозы все еще перемещался по сети, что дало исследователям уникальное представление о работе хакерской группы.
Среди прочего, группа смешала свой трафик, получив доступ к установленному веб-шеллу через запросы к легитимному файлу «login.jps».
Из сообщения исследователей Volexity:
«На первый взгляд может показаться, что это грубая попытка входа в систему, а не взаимодействие с бэкдором. Единственными реальными элементами, которые выглядели необычными в файлах журналов, были значения реферера и коды статуса ответа»
Получив доступ к целевой сети, злоумышленник перешел к установке трех различных семейств вредоносных программ — PupyRAT, Pantegana и Sliver. Все три используются для удаленного доступа и общедоступны.
Исправление для CVE-2022-1040 доступно уже несколько месяцев, и пользователям рекомендуется немедленно его исправить, учитывая. Оценка серьезности уязвимости составляет 9,8.
Sophos — британский разработчик программного обеспечения для кибербезопасности и сетевой безопасности, ориентированный в основном на программное обеспечение для обеспечения безопасности для организаций со штатом до 5000 сотрудников. Он был основан в 1985 году, но в конце 1990-х начал заниматься кибербезопасностью.
В 2019 году он был приобретен американской частной инвестиционной компанией Thoma Bravo примерно за 3,9 миллиарда $
Startpack подготовил список инструментов для защиты персональных данных и корпоративного коммерческого конфидента. Список включает в себя менеджеры, позволяющие хранить и управлять паролями от всевозможных сервисов, защищённые почтовые службы, шифрующие отправления, службы мониторинга безопасности сайтов, которые помогают вовремя отследить и предотвратить недружественные или зловредные действия. Отдельная категория инструментов — прокси и виртуальные защищённые комнаты для работы с документами.
Статьи по теме
- В старых маршрутизаторах Cisco обнаружены критические уязвимости.
- Пользователи NordVPN теперь могут создавать свои собственные частные сети с новой функцией Meshnet.
- Тысячи сайтов WordPress принудительно обновлены из-за опасной уязвимости безопасности.
- Уязвимость Microsoft 365 может позволить программам-вымогателям поразить OneDrive и SharePoint.
Комментариев пока не было