查看原文
其他

正在利用0day 时被人发现了,然后我灵机一动……

Catalin Cimpanu 代码卫士 2022-04-06
 聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队

英国网络安全厂商 Sophos 刚刚发布了对试图利用其 XG 防火墙产品 0day的调查结果更新说明。

Sophos 公司表示,获悉此事后发布了热补丁,攻击者对此感到恐慌并修改了攻击例程,取代了原先的数据窃取 payload 并在受 Sophos 防火墙保护的企业网络上部署了勒索软件。Sophos 公司表示收到热补丁的防火墙拦截了攻击者安装勒索软件的企图。


攻击概述


最初攻击发生在4月22日至4月26日期间。当时 Sophos 发布报告称攻击者已在 Sophos XG 防火墙中发现了一个 SQL 注入漏洞 (CVE-2020-12271)。
黑客利用该0day 攻击防火墙的内置 PostgreSQL 数据库服务器并在设备上植入该恶意软件。
Sophos 表示最初的 payload 是一个木马,该公司将其命名为 Asnarök,它收集包含 Sophos 防火墙账户用户名和密码的文件。另外,攻击者还留下两份文件作为后门,并用于控制受感染设备。
Sophos 公司快速响应,获悉攻击四天后为 XG 防火墙发布热补丁,并自动推送到启用了自动更新选项的所有防火墙。



补丁发布后修改攻击方法


但 Sophos 在刚刚发布的报告中指出,随着攻击的新闻公开和补丁发布后,攻击者更改了攻击例程。
该新型攻击链包含如下 payload:
  • 永恒之蓝 (EternalBlue):Windows SMB exploit,可使攻击者感染除防火墙以外的内部网络上的计算机。

  • DoublePulsa:Windows 内核植入,使攻击者能够在内部网络的计算机上站稳脚跟。

  • Ragnarok:加密勒索软件链(不同于 RagnarLocker 勒索软件)

然而,Sophos 公司表示这次新的攻击例程以失败告终。该公司表示在已修复的防火墙上,热补丁删除了恶意软件的所有痕迹,包括两个后门机制在内,从而阻止新的攻击链传播并安装勒索软件。
未启用自动更新功能以及系统管理员未手动安装补丁的 XG 防火墙很可能受感染。
Ragnarok勒索软件并非人人皆知。在 Sophos 公司发布该报告前,它曾现身于攻击网关系统 Citrix ADC 的攻击活动中。这些攻击的模式类似,都是攻击者追逐公司的网络边缘设备,然后跳转到内部网络的工作站上。
Sophos公司表示,“这起事件凸显了使防火墙内部的计算机保持最新状态的必要性,并提醒人们任何物联网设备均可被滥用为立足 Windows 计算机的立足点。对于该行业和执法部门而言,密切关注这些设备群体很重要,因为攻击一直在线的网络设备可能会产生巨大的影响。”

目前尚不了解在补丁修复前,受影响设备的数量是多少。









推荐阅读

Sophos 紧急修复已遭利用的防火墙 0day



原文链接

https://www.zdnet.com/article/hackers-tried-and-failed-to-install-ransomware-using-a-zero-day-in-sophos-firewalls/




题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。


奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    点个 “在看” ,加油鸭~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存