中国のハッカーが、Sophos Firewall の重大な安全性の脆弱性に対するゼロデイエクスプロイトを利用して、ある企業を侵害し、被害者が運営するクラウドホストの Web サーバーに侵入していたことが明らかになりました。
Sophos Firewall のユーザーポータルおよび Webadmin に、リモートでコードを実行できる認証バイパスの脆弱性が発見され、開示されました。この脆弱性は、外部のセキュリティ研究者がソフォスのバグバウンティプログラムを通じて報告したものです。この脆弱性は修正されています。
このセキュリティの脆弱性は修正されましたが、さまざまな攻撃者がこの問題を悪用して、複数の組織で認証を回避し、リモートで任意のコードを実行する行為を続けていたようです。
ソフォスは3月25日、Sophos FirewallのユーザーポータルおよびWebadminに影響する認証バイパスの脆弱性「CVE-2022-1040」についてセキュリティアドバイザリを公開し、リモートで任意のコードを実行するために悪用される可能性があることを発表しました。
サイバーセキュリティ企業のVolexityは、DriftingCloudとして追跡している中国のAPTグループからの攻撃について詳細に説明しています。
この攻撃は、ゼロデイエクスプロイトを利用してファイアウォールを侵害し、Webシェルバックドアとマルウェアをインストールして、Sophos Firewallで保護されたネットワーク外の外部システムに侵入することを可能にするものでした。
Volexityが調査を開始した時点では、攻撃はまだアクティブであり、検知されないように努力した高度な攻撃者がいることが明らかになりました。
一見すると、これはバックドアと関係なく、ブルートフォースログインに見えるかもしれません。ログファイルの中で通常と異なるように見えたのは、リファラー値とレスポンスステータスコードだけでした。
ウェブサーバーへのアクセス権取得
Volexity は、Web シェルとは別に、持続性を確保し、攻撃者がさらに攻撃を進めることを可能にする、より悪質なアクティビティを発見しました。
- VPN ユーザーアカウントの作成と、正当なリモートネットワークアクセスのためのファイアウォールでの証明書ペアの関連付け
- 「pre_install.sh」を「/conf/certificate/」に書き込む。
- 「pre_install.sh」は、バイナリをダウンロードし、実行した後、ディスクから削除する悪意のあるコマンドを実行
研究者によると、Sophos Firewall へのアクセスが攻撃の最初のステップとなり、被害者企業が管理する特定の Web サイトの DNS 応答を変更する方法で、中間者 (MitM) 活動を行うことができたといいます。
これにより、攻撃者はウェブサイトのコンテンツ管理システム(CMS)への管理アクセスから、ユーザー認証情報とセッションクッキーを傍受することができました
攻撃者は、盗んだセッションクッキーを使ってCMSの管理ページにアクセスし、ウェブサイト上のファイルを扱うためのファイルマネージャープラグイン(アップロード、ダウンロード、削除、編集)をインストールしたため、この試みは成功したようです。
ウェブサーバにアクセスすると、DriftingCloudは、PupyRAT、Pantegana、Sliverという一般に公開されているリモートアクセス用の3つのマルウェアファミリーをインストールしています。
類似の攻撃を検知
Volexityは、DrifitingCloudは、ゼロデイ脆弱性を開発できるほど十分に洗練されているか、それを購入できるほど十分な資金を持っていると評価しています。
Sophosは、CVE-2022-1040に自動的に対応する修正プログラムを提供するとともに、同社のファイアウォールを使用している組織がこの脆弱性を悪用されないようにするための緩和策を提供しています。
同様の攻撃を特定するために、Volexity社は、ゲートウェイ・デバイスからのトラフィックを検出してログに記録するネットワーク・セキュリティ・モニタリング・メカニズムを導入することを推奨している。
また侵害の調査を容易にするために、Unixベースのサーバーでauditdツールを使用することを推奨している。
Volexityは、この種の攻撃による疑わしい活動にフラグを立てることができるYARAルールのセットも公開しています。
Comments