Resumen: Un fallo de tipo zero-day en el Firewall de Sophos, había estado siendo explotado por los actores de la amenaza semanas antes de su corrección.
Rastreado como CVE-2022-1040 y detectado por primera vez a finales de marzo, el fallo se trataba de un problema de elusión de la autenticación en el Portal de los Usuarios y en el Webadmin del Firewall de Sophos.
Ahora bien, según informan los investigadores de Volexity, el problema fue vulnerado por un grupo de ciberdelincuentes chinos, semanas antes de la publicación de un parche para el mismo.
Los ciberdelincuentes, pertenecientes a un grupo de la amenaza apodado como DriftingCloud, utilizaron el exploit de la vulnerabilidad para comprometer y penetrar en el firewall de sus diferentes víctimas.
Para ello, ejecutaron un framework conocido como Behinder, anteriormente utilizado por otros grupos APT.
Más adelante, cuando los atacantes consiguieron el acceso a los servidores web, instalaron backdoors y lanzaron malware que les permitiera vulnerar sistemas externos fuera del entorno protegido por el firewall de Sophos.
Una vez hecho esto, los atacantes ejecutaron una serie de actividades maliciosas que asegurarían su persistencia y les permitirían llevar su ataque a otro nivel.
Actividades maliciosas para establecer la persistencia: Creación de cuentas VPN. Asociación de pares de certificados en el Firewall para conseguir el acceso legítimo a la red remota. Escritura de comandos en '/conf/certificate/' que permiten la descarga de binarios.
En las últimas etapas del ataque, los atacantes modificaron las respuestas DNS para sitios web específicos y lanzaron un ataque de tipo Man-in-the-Middle (MitM); cosa que les permitió interceptar las credenciales de sus víctimas y robar las cookies de inicio de sesión del sistema de gestión de contenidos.
Finalmente, aseguran los investigadores, los ciberdelincuentes instalaron tres familias de malware diferentes, con el objetivo de adquirir el acceso remoto a los ordenadores de sus víctimas.
Actualmente, aunque la vulnerabilidad sigue siendo explotada hasta la fecha, Sophos ya ha proporcionado una serie de “hotfixes” que abordan el fallo.
Además, múltiples investigadores ya han lanzado varias medidas de mitigación, que protegen la posible explotación de los firewalls de Sophos.
Dicho esto, se le insta a todos los administradores a instalar los parches correspondientes, así como a desplegar los mecanismos de defensa que registren y detecten el tráfico en sus dispositivos.
Recomendaciones: Se le insta a todos los administradores a instalar los parches proporcionados por el equipo de seguridad de Sophos. Medidas para mitigar cualquier ataque de ciberseguridad Mantener los dispositivos actualizados Instalar los últimos parches disponibles Activar la autenticación multifactor Activar las reglas de firewall Guardar copias de seguridad
Referencias: https://www.techradar.com/news/sophos-firewall-zero-day-bug-exploited-weeks-before-fix |
SÍGUENOS