Hackers chineses se aproveitaram de uma falha do Shophos Firewall para executarem seus ataques. Eles abusaram de uma exploração de zero dia para uma falha de gravidade crítica no Sophos Firewall e comprometeram uma empresa e violaram servidores da Web hospedados na nuvem gerenciados pela vítima.
Exploração da falha de segurança da Sophos Firewall
O site Volexity (Via: Cyware) divulgou um ataque de um grupo chinês APT, rastreado como DriftingCloud. O agente da ameaça abusa da falha CVE-2022-1040 RCE desde o início de março, apenas três semanas antes de um patch ser lançado pela Sophos.
Essa falha foi divulgada pela Sophos em março. Na ocasião, a empresa divulgou um aviso de segurança sobre essa falha do RCE que afeta o Portal do Usuário e o Webadmin do Sophos Firewall. Três dias depois, o fornecedor alertou e divulgou que os cibercriminosos estavam aproveitando a falha de segurança para atingir várias organizações no sul da Ásia.
Os invasores abusaram das falhas de zero dia para comprometer o firewall e instalar backdoors e malware do webshell para permitir o comprometimento de sistemas externos fora da rede protegidos pelo Sophos Firewall.
Ação dos cibercriminosos
Os invasores estavam usando a estrutura do Behinder, que acredita-se ser usada por outros grupos chineses de APT que exploraram a falha CVE-2022-26134 nos servidores Confluence, aponta o Cyware.
Para que obtivessem sucesso nos ataques, os hackers precisaram obter acesso ao Sophos Firewall. Uma vez conseguido o acesso, isso lhes permitiu um ataque Man-in-the-Middle (MitM) modificando as respostas DNS para sites específicos das empresas vítimas.
O invasor acessa com sucesso as páginas de administração do CMS usando cookies de sessão roubados e, posteriormente, instala um plug-in do Gerenciador de Arquivos para manipular arquivos no site. Uma taque bem direcionado, pode revelar sérios problemas para organizações.
Felizmente, a Sophos corrigiu a falha. De acordo com as informações, a empresa forneceu mitigações para ajudar as organizações a usar seu firewall e proteger contra os agentes de ameaças que abusam da vulnerabilidade.
No entanto, vale lembrar que, caso você ainda não tenha executado as medidas de segurança lançadas pela empresa, você ainda está vulnerável a ataques desse tipo. Recomenda-se, assim, que você execute as atualizações necessárias agora mesmo.
Com os hackers cada vez mais empenhados em encontrar falhas de segurança em softwares, pessoas e organizações ficam cada vez mais vulneráveis a ataques e, assim como com a Sophos, qualquer outra empresa que lance atualizações para os seus dispositivos, você deve executar a instalação o mais rápido possível.
