Gli hacker ci hanno provato 2 metodi per sfruttare una vulnerabilità zero-day in Sophos’ Firewall XG, ma Sophos afferma di aver apportato una correzione temporanea che ha mitigato i rischi.
Gli aggressori hanno inizialmente tentato di installare un Trojan nelle reti sfruttando la vulnerabilità zero-day, ma poi è passato al ransomware.
I firewall XG che hanno ricevuto un hotfix sono stati in grado di bloccare gli attacchi, compreso il ransomware, che la società ha identificato come Ragnarok.
Questo malware che blocca la crittografia è stato notato per la prima volta a gennaio, quando la società di sicurezza FireEye ha pubblicato un rapporto al riguardo, notando che i suoi operatori stavano cercando di sfruttare i difetti nei server ADC e Gateway di Citrix in quel momento.
Sophos ha rilevato la prima ondata di questi attacchi ad aprile, quando gli hacker stavano tentando di sfruttare una vulnerabilità di SQL injection zero-day nei prodotti firewall XG.
CVE-2020-12271, ha consentito agli aggressori di prendere di mira il server di database PostgreSQL integrato nel firewall, quindi consentire agli hacker di iniettare una singola riga di codice Linux nei database che consentirebbe loro di piantare malware all'interno di reti vulnerabili.
Gli aggressori hanno tentato di piantare un Trojan chiamato Asnarök, che consente agli autori delle minacce di rubare nomi utente e password con hash.
Quando gli analisti di Sophos hanno iniziato a notare gli attacchi in corso, hanno fornito una soluzione temporanea ai propri clienti.
Gli hacker hanno quindi tentato di cambiare tattica.
Durante i primi attacchi di aprile, gli hacker hanno lasciato ciò che Sophos chiama a “canale di backup” e altri file dannosi che consentirebbero agli aggressori di rientrare in una rete se fossero stati rilevati e bloccati.
Quando Sophos ha bloccato il primo attacco firewall con un hotfix, gli hacker hanno tentato di sfruttare la vulnerabilità EternalBlue nelle versioni precedenti di Microsoft Windows e il malware backdoor DoublePulsar per rientrare nelle reti e piantare il ransomware Ragnarok.
L'hotfix ha impedito agli hacker di eseguire questo nuovo attacco perché disabilitava i file dannosi.
fonte: https://www.instagram.com/p/CAiSyUZAP6J/
