Sophos рассказала о трояне, атаковавшем firewall Sophos XG

Sophos XG Новости

На прошлых выходных компания Sophos в экстренном порядке исправила уязвимость нулевого дня в своем межсетевом экране Sophos XG. По данным Sophos, с 22 апреля 2020 года уязвимость эксплуатировалась киберпреступниками для распространения трояна Asnarök, похищающего имена пользователей и хэши паролей.

Речь идет об уязвимости, позволяющей осуществить SQL-инъекцию и удаленно выполнить код на физическом или виртуальном межсетевом экране. После эксплуатации уязвимости полезная нагрузка Asnarök загружалась на атакуемый межсетевой экран в виде нескольких сценариев командной оболочки Linux. Вместе с полезной нагрузкой эксплоит также загружал сценарий командной оболочки, который делал установщик вредоносного ПО исполняемым и запускал его на скомпрометированном устройстве.

Для того чтобы запускаться при каждой загрузке межсетевого экрана, Asnarök модифицировал некоторые его службы и использовал их как механизм сохранения персистентности.

Как показал реверс-инжиниринг трояна, он был создан специально для сбора логинов и хэшей паролей пользователей межсетевого экрана, а также некоторой системной информации. Тем не менее, каких-либо свидетельств того, что собранные Asnarök данные были успешно получены злоумышленниками, исследователи не обнаружили.

По сути, троян мог собирать такую информацию о межсетевом экране, как номер лицензии и серийный номер продукта, список хранящихся на устройстве электронных адресов пользователей (первым в списке указывается электронный адрес администратора), имена пользователей, зашифрованные пароли, «подсоленный» с помощью хэш-функции SHA256 пароль администратора, список идентификаторов пользователей, которым разрешено использовать межсетевой экран для SSL VPN и VPN-соединение без клиента.

Asnarök также делал запросы во внутреннюю базу данных межсетевого экрана в поисках сведений о версии ОС, объеме оперативной памяти, ЦП, времени непрерывной работы (аптайме), разрешениях на выделение пользовательских IP-адресов и пр. Собранные данные записывались в файл Info.xg, архивировались, шифровались и отправлялись на подконтрольный злоумышленникам сервер.

Sophos заблокировала использовавшиеся трояном домены 22-23 апреля и 23-24 апреля начала рассылать исправления для уязвимости. Завершающее обновление безопасности было выпущено 25 апреля. Пользователям, не включившим функцию автоматического обновления межсетевого экрана, нужно установить исправление вручную.

Publisher
Оцените автора
AsaDagar
Добавить комментарий