Les pirates ont essayé 2 méthodes d'exploitation d'une vulnérabilité zero-day dans Sophos’ Pare-feu XG, mais Sophos dit qu'il a fait un correctif temporaire qui a atténué les risques.
Les attaquants ont initialement tenté d'implanter un cheval de Troie dans les réseaux en exploitant la vulnérabilité zero-day, mais est ensuite passé au ransomware.
Les pare-feu XG qui ont reçu un correctif ont pu bloquer les attaques, y compris le ransomware, que la société a identifié comme Ragnarok.
Ce malware crypto-bloquant a été remarqué pour la première fois en janvier, lorsque la société de sécurité FireEye a publié un rapport à ce sujet, notant que ses opérateurs tentaient de tirer parti des failles des serveurs ADC et Gateway de Citrix à l'époque.
Sophos a détecté la première vague de ces attaques en avril lorsque les pirates tentaient de tirer parti d'une vulnérabilité d'injection SQL zero-day dans les produits de pare-feu XG.
CVE-2020-12271, a permis aux attaquants de cibler le serveur de base de données PostgreSQL intégré au pare-feu, puis permettre aux pirates d'injecter une seule ligne de code Linux dans les bases de données qui leur permettrait de planter des logiciels malveillants dans des réseaux vulnérables.
Les attaquants ont tenté de planter un cheval de Troie appelé Asnarök, qui permet aux acteurs de la menace de voler des noms d'utilisateur et des mots de passe hachés.
Lorsque les analystes de Sophos ont commencé à remarquer le déroulement des attaques, ils ont envoyé un correctif temporaire à ses clients..
Les pirates ont ensuite tenté de changer de tactique.
Lors des premières attaques en avril, les pirates ont laissé derrière eux ce que Sophos appelle un “canal de secours” et d'autres fichiers malveillants qui permettraient aux attaquants de réintégrer un réseau s'ils avaient été détectés et bloqués.
Lorsque Sophos a bloqué la première attaque de pare-feu avec un correctif, les pirates ont tenté d'exploiter la vulnérabilité EternalBlue dans les anciennes versions de Microsoft Windows et le malware de porte dérobée DoublePulsar pour réintégrer les réseaux et installer le ransomware Ragnarok.
Le correctif a empêché les pirates d'exécuter cette nouvelle attaque car il a désactivé les fichiers malveillants.
La source: https://www.instagram.com/p/CAiSyUZAP6J/