▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Firewall Sophos: attacco in tre atti sventato dagli upgrade

I cyber criminali hanno cercato di sfruttare una falla zero-day nel firewall Sophos XG per distribuire ransomware in rete. Sono stati bloccati da un hotfix prontamente pubblicato.

Business Vulnerabilità
A fine aprile un gruppo di cyber criminali ha sfruttato una vulnerabilità SQL injection precedentemente sconosciuta per eseguire codice remoto nei firewall Sophos XG. L'obiettivo era installare quello che Sophos ha identificato come trojan Asnarök. Si tratta di uno strumento sviluppato appositamente per rubare dati dai firewall, da usare per compromettere la rete da remoto.

Sono stati eseguiti una serie di script. Fra gli altri, uno ha eseguito una serie di comandi per modificare o azzerare i valori di alcune tabelle nel database, uno dei quali normalmente visualizza l'indirizzo IP amministrativo del dispositivo stesso. Fra le altre azioni, sono stati eliminati altri due script della shell nella directory /tmp e almeno uno script della shell che fa parte del sistema operativo del firewall, a cui è stato aggiunto un set di comandi. Quest'ultima azione è rilevante perché garantisce che il malware venga eseguito ogni volta che il firewall viene avviato. È una sorta di meccanismo di persistenza del malware.

L'obiettivo era rubare la licenza e il numero di serie del firewall, l'elenco degli indirizzi email degli account utente archiviati nel dispositivo. L'indirizzo di posta elettronica principale appartenente all'account amministratore del firewall. I nomi degli utenti del firewall, la forma crittografata delle password e l'hash SHA256 della password dell'account amministratore. Un elenco degli ID utente a cui è consentito utilizzare il firewall per VPN SSL, e gli account a cui è consentito utilizzare una connessione VPN clientless.

L'attacco è stato orchestrato come riassunto dallo schema pubblicato da Sophos:
flow diagram 2nd versionAppena scoperti gli attacchi, Sophos ha pubblicato un hotfix che ha chiuso la vulnerabilità SQL injection e rimosso gli script dannosi.

Ransomware Ragnarok

Il pericolo sembrava scampato, ma poche ore dopo gli aggressori avevano già modificato gli script per utilizzare un attacco "dead man switch" volto a distribuire il ransomware Ragnarok sulle macchine Windows senza patch collegate alla rete. Fortunatamente, l'hotfix di Sophos aveva eliminato i componenti necessari allo svolgimento di questo attacco, bloccando il riavvio dei firewall.

Siamo al terzo atto: i cyber criminali hanno modificato ulteriormente i loro piani. Hanno cambiato nuovamente alcuni degli script shell diffusi nella fase precedente dell'attacco. In particolare, hanno sostituito il modulo 2own data-stealing con il payload del ransomware. L'obiettivo era infettare direttamente i computer Windows vulnerabili in rete con il ransomware Ragnarok. Si tratta di un ransomware mirato alle aziende, i cui operatori in passato hanno sfruttato le vulnerabilità nei dispositivi gateway ADC di Citrix.
dead man switchPer distribuire il ransomware, hanno pianificato di utilizzare gli exploit EternalBlue e DoublePulsar CIA per copiare il malware in una macchina Windows e iniettarlo nel processo explorer.exe. Se l'operazione fosse riuscita, il ransomware avrebbe iniziato a crittografare i file. Fortunatamente l'hotfix ha funzionato anche nel contrastare quest'ultima opzione.

Conclusioni

Questa serie concatenata di attacchi è la palese dimostrazione del fatto che i cyber criminali prendono tuttora di mira i dispositivi di protezione perimetrale per ottenere l'accesso a una rete e distribuire malware. È per questo motivo che resta essenziale assicurarsi che tutti gli aggiornamenti siano sempre installati tempestivamente.

sophos attack flow and data exfiltrationCi sono comode funzioni che consentono di automatizzare l'installazione degli aggiornamenti di sicurezza man mano che vengono rilasciati. È bene usarla per evitare che un aggiornamento tardivo si trasformi in una grave violazione.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 11
Microsoft Sentinel: la piattaforma SIEM e SOAR per il soc moderno
Lug 11
Accesso Sicuro, Futuro Protetto: Il Viaggio con Cisco Duo
Lug 15
Business Meeting HP | Diventa HP Extended Partner & HP Ecosystem
Lug 15
HPE TSC - Le ultime novità HPE per il tuo business a valore aggiunto
Lug 15
Networking on OCI: Dietro le Quinte della Rete Cloud
Lug 15
Cisco 360 Level Up:la transizione guidata da TD SYNNEX
Lug 16
NetApp Hybrid Cloud Associate Workshop
Lug 17
Ready Informatica Webinar | Cove Data Protection di N-able – Il tuo backup è ancorato al passato?
Lug 18
Ready Informatica Training Online | Cove Data Protection di N-able

Ultime notizie Tutto

Patch Tuesday di luglio 2025: chiuse 137 falle, una Zero Day

Microsoft risolve 137 falle di sicurezza nel Patch Tuesday di luglio, tra cui una Zero Day su SQL Server e gravi vulnerabilità in Windows e SharePoint.

09-07-2025

AI agent e automazione no-code: la nuova era dei SOC

Agentic AI e automazione no-code: i SOC stanno cambiando faccia. Ecco come workflow intelligenti, integrazioni dinamiche e nuovi standard possono ridefinire l’incident response e il ruolo degli analisti.

09-07-2025

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1