Ошибку нулевого дня Sophos Firewall использовали за несколько недель до исправления

Уязвимость в брандмауэре Sophos, впервые обнаруженную в конце марта и вскоре после этого исправленную, использовали злоумышленники из группы хакеров, которые, вероятно, находятся в Китае.

Ошибку нулевого дня Sophos Firewall использовали за несколько недель до исправления. Фото: СС0

Исследователи из фирмы по кибербезопасности Volexity сообщили о злоумышленнике DriftingCloud, который с начала марта использовал уязвимость CVE-2022-1040 против ряда неназванных объектов.

Хакер обходил аутентификацию и запускал произвольный код на конечных точках жертв. Уязвимость затрагивает пользовательский портал и веб-админку Sophos Firewall. Исследователи также сообщают, что злоумышленникам удалось установить бэкдоры веб-шелла и другое вредоносное ПО.

На момент обнаружения компрометация все еще была активна, а субъект угрозы все еще перемещался по сети, что дало исследователям уникальное представление о работе хакерской группы.

Среди прочего, группа смешала свой трафик, получив доступ к установленному веб-шеллу через запросы к легитимному файлу «login.jps».

Из сообщения исследователей Volexity:

«На первый взгляд может показаться, что это грубая попытка входа в систему, а не взаимодействие с бэкдором. Единственными реальными элементами, которые выглядели необычными в файлах журналов, были значения реферера и коды статуса ответа»

Получив доступ к целевой сети, злоумышленник перешел к установке трех различных семейств вредоносных программ — PupyRAT, Pantegana и Sliver. Все три используются для удаленного доступа и общедоступны.

Исправление для CVE-2022-1040 доступно уже несколько месяцев, и пользователям рекомендуется немедленно его исправить, учитывая. Оценка серьезности уязвимости составляет 9,8.

Sophos — британский разработчик программного обеспечения для кибербезопасности и сетевой безопасности, ориентированный в основном на программное обеспечение для обеспечения безопасности для организаций со штатом до 5000 сотрудников. Он был основан в 1985 году, но в конце 1990-х начал заниматься кибербезопасностью.

В 2019 году он был приобретен американской частной инвестиционной компанией Thoma Bravo примерно за 3,9 миллиарда $

Startpack подготовил список инструментов для защиты персональных данных и корпоративного коммерческого конфидента. Список включает в себя менеджеры, позволяющие хранить и управлять паролями от всевозможных сервисов, защищённые почтовые службы, шифрующие отправления, службы мониторинга безопасности сайтов, которые помогают вовремя отследить и предотвратить недружественные или зловредные действия. Отдельная категория инструментов — прокси и виртуальные защищённые комнаты для работы с документами.

Статьи по теме