Los atacantes apuntan a los cortafuegos de Sophos con día cero



La explotación remota compromete configuraciones específicas de firewalls XG con la intención de robar datos de los dispositivos.

La firma de seguridad Sophos reconoció «un ataque coordinado de un adversario desconocido» que comprometió los productos de firewall XG de la compañía usando una vulnerabilidad de inyección SQL previamente desconocida, según un aviso publicado el 27 de abril.

El ataque, que tuvo lugar cinco días antes, se dirigió a «varios clientes» cuyos cortafuegos se habían configurado con el portal administrativo o de usuario expuesto a World wide web y que tenía un servicio de cortafuegos, como una VPN SSL, expuesto a Net en el mismo puerto Si bien estos ajustes no son la configuración predeterminada, las empresas que luchan con trabajadores remotos pueden haber sido más propensas a configurar su firewall para permitir la administración remota y podrían haber colocado los servicios en la misma interfaz que el portal administrativo.

El ataque comenzó el mediodía del 22 de abril y, a primera hora de la mañana del día siguiente, Sophos había determinado que los firewalls de varios clientes habían sido comprometidos por el exploit, lo que provocó que su respuesta se intensificara a un «proceso de gran incidente», declaró la compañía en su informe. consultivo.

«Sophos inmediatamente comenzó una investigación que incluía recuperar y analizar los artefactos asociados con el ataque», dijo un portavoz de Sophos en una entrevista por correo electrónico con Darkish Looking through. «Después de determinar los componentes y el impacto del ataque, Sophos implementó una revisión en todas las versiones compatibles».

Debido a la revisión, las empresas pueden buscar alertas en el tablero del Centro de regulate de su firewall para determinar si su dispositivo ha sido seleccionado, Sophos dicho en su aviso.

En un análisis separado, Sophos reveló los resultados de su investigación. Una vez que un firewall se vio comprometido, los atacantes ejecutaron una serie de scripts de shell para instalar archivos ejecutables diseñados para ejecutarse en el sistema operativo del firewall, comenzando con un script de shell install.sh. El script intentó instalar otros dos programas, uno de los cuales fue diseñado para hacer que el ataque persista. El guión también intentó ocultar sus actividades, pero, debido al mal diseño, en realidad lo hizo más noteworthy, dijo Sophos.

«Este ataque apuntó a los productos de Sophos y aparentemente tenía la intención de robar información confidencial del firewall», dijo la compañía.

El malware parecía estar enfocado en la exfiltración de datos. Si bien el ataque tenía la capacidad de filtrar datos de los dispositivos de firewall infectados, Sophos «no había descubierto ninguna evidencia de que los datos recopilados se hubieran filtrado correctamente», dijo la compañía. dicho en su análisis. Los scripts se centraron en copiar el contenido de tablas de bases de datos específicas del firewall y luego agregaron la información recopilada a un archivo en el firewall.

El ataque parecía bastante sofisticado, pero un portavoz de Sophos dijo que «es demasiado pronto para saber quién está detrás del ataque», mientras la compañía continúa investigando.

Sophos no es la primera compañía de seguridad en sufrir un ataque dirigido contra sus productos. En mayo de 2019, un grupo de hackers afirmó han robado el código fuente de Development Micro, McAfee y Symantec. Solo Pattern Micro confirmó la violación, mientras que Symantec negó que la compañía hubiera sufrido un compromiso.

En 2017, los atacantes comprometieron los sistemas de desarrollo de Piriform, adquiridos recientemente por la firma de seguridad Avast, e instalaron una puerta trasera maliciosa en el código de su utilidad de sistema, CCleaner. Según el análisis, el grupo detrás del ataque parecía ser un grupo APT vinculado al gobierno chino.

En el último ataque contra una empresa de seguridad, Sophos declaró que no tiene conocimiento de ningún intento posterior de usar la cabeza de playa en los firewalls de los clientes para extender el acceso a los sistemas de los clientes. El malware instalado por los atacantes está diseñado para recopilar direcciones IP públicas y la clave de licencia del firewall, así como obtener información de la cuenta de usuario SQL, un hash de la contraseña del administrador e información sobre políticas. El software program comprimirá los datos y los enviará de vuelta al atacante a través de una conexión cifrada.

La compañía instó a sus clientes a fortalecer sus configuraciones de firewall y no exponer la interfaz administrativa o el portal de usuarios a World-wide-web.

«Aunque hemos remediado esta vulnerabilidad, siempre es una buena concept reducir la superficie de ataque siempre que sea posible deshabilitando los Servicios de administración HTTPS y el acceso al Portal del usuario en la interfaz WAN», afirma la compañía en su aviso.

contenido relacionado

Revisa El borde, La nueva sección de Darkish Looking at para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «5 maneras de demostrar el valor de la seguridad en la period de COVID-19«.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Darkish Examining, MIT&#39s Technologies Critique, Popular Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más concepts





Enlace a la noticia first