La société de cybersécurité Sophos a informé ses clients ce week-end qu’elle avait corrigé une vulnérabilité zero-day qui avait été exploitée pour diffuser des logiciels malveillants sur ses appliances XG Firewall.

Sophos a déclaré avoir appris des attaques ciblant son pare-feu XG le 22 avril après qu’une valeur de champ suspecte a été découverte dans l’interface de gestion d’un appareil. Une enquête a révélé que les attaquants exploitaient une vulnérabilité d’injection SQL inconnue pour pirater les pare-feu physiques et virtuels exposés. Plusieurs clients ont été ciblés.

Selon la société, l’attaque visait des systèmes avec le service d’administration ou le portail utilisateur exposés à Internet. Les attaquants tentaient apparemment d’exploiter le trou de sécurité pour télécharger des logiciels malveillants qui leur permettraient d’exfiltrer les données du pare-feu.

Ces données peuvent inclure des noms d’utilisateur et des hachages de mot de passe pour les administrateurs de périphériques locaux, les administrateurs de portail et les comptes d’utilisateurs configurés pour l’accès à distance. Le malware pourrait également avoir accès aux informations sur le pare-feu, aux adresses e-mail des comptes stockés sur l’appliance et aux informations sur les autorisations d’allocation d’adresses IP.

«Les mots de passe associés à des systèmes d’authentification externes tels que AD ou LDAP ne sont pas affectés», a expliqué Sophos aux clients.

Sophos a commencé à prendre des mesures peu de temps après le début de l’attaque et a déployé un correctif SFOS qui corrige la vulnérabilité d’injection SQL le 25 avril. Une fois qu’ils ont appliqué le correctif, les utilisateurs sont également informés si leur pare-feu a été compromis dans le cadre de cette attaque.

Dans un article de blog publié dimanche soir, Sophos a révélé que l’attaquant exploitait la vulnérabilité d’injection SQL pour insérer une commande d’une ligne dans la base de données du pare-feu. Cette commande a amené les appareils concernés à télécharger un script shell Linux nommé Install.sh à partir d’un serveur distant. Le script a ensuite exécuté plus de commandes SQL et déposé plus de fichiers sur le système de fichiers virtuel.

D’autres scripts déployés lors de l’attaque ont été conçus pour assurer la persistance sur tous les appareils …

Voir la source de cette publication