Los atacantes aprovechan la falla de ejecución de código de 0 días en el firewall de Sophos

Un agujero en la pared de ladrillo.

Los usuarios de un firewall ampliamente utilizado por Sophos sufrieron un ataque de día cero diseñado para robar nombres de usuario, contraseñas cifradas y otros datos confidenciales, dijeron el domingo funcionarios de seguridad.

El ataque bien investigado y desarrollado explotó una falla de inyección SQL en las versiones completamente parcheadas de Sophos XG Firewall. Con esta experiencia en los sistemas, descargó e instaló una serie de scripts que finalmente ejecutaron el código destinado a despegar con los nombres de usuario, los nombres de usuario, el formulario cifrado con el hash de las contraseñas y el hash salado SHA256 de la contraseña de ‘cuenta de administrador. Sophos ha proporcionado una solución que mitiga la vulnerabilidad.

Otros datos dirigidos por el ataque incluyeron una lista de permisos de asignación de direcciones IP para usuarios de firewall; la versión del sistema operativo personalizado en ejecución; el tipo de CPU la cantidad de memoria presente en el dispositivo; cuánto tiempo ha estado funcionando desde el último reinicio; y la salida de ifconfig, una herramienta de línea de comandos; y tablas ARP utilizadas para traducir direcciones IP en nombres de dominio.

«La actividad principal de este malware parecía ser el robo de datos, que podría realizar recuperando el contenido de varias tablas de bases de datos almacenadas en el firewall, así como ejecutando algunos comandos del sistema operativo», escribieron los investigadores de Sophos en la divulgación del domingo. «En cada paso, el malware recopiló información y la concatenó en un archivo almacenado temporalmente en el firewall con el nombre Info.xg«.

Los exploits también descargaron el malware de dominios que parecían legítimos. Para evitar la detección, parte del malware eliminó los archivos subyacentes que lo ejecutaron y lo ejecutó exclusivamente en la memoria. El código malicioso utiliza un método creativo y giratorio para garantizar que se ejecuta cada vez que se inician los firewalls. Estas características sugieren fuertemente que los actores de la amenaza pasaron semanas o meses sentando las bases de los ataques.

refinamiento

El ataque mostró que los atacantes tenían un conocimiento detallado del cortafuegos que solo podía provenir de alguien que tenía acceso al software, lo que probablemente requirió una licencia. A partir de ahí, los atacantes estudiaron cuidadosamente el firewall para encontrar mecanismos internos que permitieran la descarga e instalación de malware que usaba nombres que se parecían mucho a nombres de archivos y procesos legítimos.

Los datos que el malware fue diseñado para filtrar sugieren que el ataque fue diseñado para proporcionar a los atacantes los medios para penetrar aún más en las organizaciones que usaron el firewall a través de ataques de phishing y acceso no autorizado a cuentas de usuario y potencialmente explota el dirigido a cortafuegos o usuarios finales. La publicación de Sophos dijo que no había evidencia del éxito de la extracción de datos, pero no descartó esta posibilidad.

La vulnerabilidad de día cero que hizo posible los ataques fue una falla de inyección SQL previa a la autenticación encontrada en el sistema operativo personalizado que ejecuta el firewall. Sophos no proporcionó más detalles sobre la vulnerabilidad. La inyección SQL explota defectos que ejecutan código malicioso a través de cadenas que se insertan en módulos contenidos en un sitio web vulnerable. Los defectos son el resultado de una falla al filtrar los comandos. La autenticación previa significa que el atacante no tuvo que proporcionar ninguna credencial para llevar el código de ejecución.

Los usuarios de firewall vulnerables deben instalar la revisión lo antes posible y luego examinar sus sistemas en busca de signos de compromiso publicados en la publicación mencionada anteriormente aquí.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *