Les pirates ont tenté d’exploiter un jour zéro dans le pare-feu Sophos XG pour distribuer des ransomwares aux machines Windows, mais ont été bloqués par un correctif publié par Sophos.

Fin avril, les pirates informatiques ont utilisé une vulnérabilité d’injection SQL zéro jour qui conduit à l’exécution de code à distance dans les pare-feu Sophos XG.

Les attaquants ont utilisé cette vulnérabilité pour installer divers binaires et scripts ELF qui sont nommés par Sophos comme le cheval de Troie Asnarök.

Ce cheval de Troie a été utilisé pour voler des données du pare-feu qui auraient pu permettre aux attaquants de compromettre le réseau à distance.

Ces données comprennent:

  • La licence et le numéro de série du pare-feu
  • Une liste des adresses e-mail des comptes d’utilisateurs qui ont été stockées sur l’appareil, suivies de l’e-mail principal appartenant au compte administrateur du pare-feu
  • Noms des utilisateurs du pare-feu, noms d’utilisateur, forme cryptée des mots de passe et hachage SHA256 salé du mot de passe du compte administrateur. Les mots de passe n’étaient pas stockés en texte brut.
  • Une liste des ID utilisateur autorisés à utiliser le pare-feu pour le VPN SSL et les comptes autorisés à utiliser une connexion VPN «sans client».

Vous pouvez voir comment l’attaque a été orchestrée à travers le diagramme suivant de Sophos.

Flux d'attaque Flux d'attaque du cheval de Troie Asnarök
Flux d’attaque pour le cheval de Troie Asnarök

Une fois ces attaques découvertes, Sophos a déployé un correctif sur les pare-feu qui ont fermé la vulnérabilité d’injection SQL et supprimé les scripts malveillants.

Si ce n’était pas pour vous des chercheurs d’ingérence!

Dans un nouveau rapport publié par Sophos aujourd’hui, nous apprenons que quelques heures seulement après que Sophos a sorti son correctif, les attaquants ont révisé leur attaque pour distribuer le Ragnarok Ransomware sur des machines Windows non corrigées du réseau.

Infos WEB:  9 principales tendances de gestion de projet pour 2020

Tout d’abord, ils ont commencé à modifier leurs scripts sur les pare-feu piratés pour utiliser un «  interrupteur homme mort  » qui déclencherait une attaque de rançongiciel ultérieurement si un fichier particulier était supprimé et que l’appareil était redémarré.

Interrupteur homme mort
Interrupteur homme mort

Heureusement, Sophos …

Voir la source de cette publication