Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 30 Giugno 2022 07:00
Gli esperti di Volexity hanno riportato recentemente di come dei criminali informatici hanno sfruttato una vulnerabilità 0day in Sophos Firewall, che è stata corretta dal produttore nel marzo 2022. I ricercatori affermano che gli hacker cinesi del gruppo DriftingCloud hanno utilizzato tale bug.
A marzo 2022 è stata rilasciata una patch per la vulnerabilità CVE-2022-1040, che è stata valutata come critica sulla scala CVSS (9,8 punti su scala 1 a 10). All’epoca, è stato segnalato che il bug consente agli aggressori remoti di aggirare l’autenticazione tramite il portale utente del firewall o tramite il pannello di amministrazione Web e quindi eseguire codice arbitrario.
La vulnerabilità è stata originariamente scoperta da un ricercatore anonimo che l’ha segnalata tramite il programma ufficiale di ricompense dei bug e ha affermato che il problema riguarda Sophos Firewall 18.5 MR3 (18.5.3) e precedenti.
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
A quel tempo erano già stati segnalati attacchi che utilizzavano questo problema, ma si sapeva poco: il produttore ha scritto che il bug veniva sfruttato principalmente negli attacchi contro obiettivi dei paesi dell’Asia meridionale.
Come dicono ora gli analisti di Volexity, gli hacker cinesi, che tracciano sotto il nome di DriftingCloud, utilizza CVE-2022-1040 dall’inizio di marzo, a partire da circa tre settimane prima del rilascio della patch. Gli aggressori hanno utilizzato l’exploit per compromettere il firewall, installare backdoor di webshell e malware.
L’accesso a Sophos Firewall è stata solo la prima fase della compromissione, consentendo un attacco MitM (modificando le risposte DNS per alcuni siti controllati dall’azienda vittima).
“Ciò ha consentito agli aggressori di intercettare le credenziali dell’utente e i cookie di sessione per l’accesso amministrativo al CMS del sito”
afferma il rapporto.
Di conseguenza, gli hacker sono entrati nelle pagine di amministrazione del CMS utilizzando i cookie rubati e hanno installato il plug-in File Manager per elaborare i file sul sito (caricare, scaricare, eliminare, modificare). Inoltre, dopo aver ottenuto l’accesso al server web, gli aggressori hanno installato PupyRAT, Pantegana e Sliver, tre malware per l’accesso remoto ampiamente disponibili.
Quando Volexity ha iniziato a indagare su questi hack, gli aggressori erano ancora attivi, consentendo agli investigatori di seguire quasi tutte le fasi degli attacchi. Si noti che gli hacker hanno cercato di mascherare il proprio traffico accedendo alla shell Web installata tramite richieste al file login.jsp legittimo.
“A prima vista, potrebbe sembrare che si tratti di un tentativo di forza bruta e non di un’interazione con una backdoor. Gli unici elementi reali che sembravano insoliti nei file di registro erano i valori del referrer e i codici di stato della risposta”
affermano gli esperti.
Si noti inoltre che durante gli attacchi, gli hacker hanno utilizzato l’infrastruttura Behinder, precedentemente utilizzata negli attacchi di altri APT cinesi che hanno sfruttato il bug CVE-2022-26134 in Atlassian Confluence.
RedazioneNegli ultimi giorni, il panorama della cybersecurity italiana è stato scosso da una serie di massicci data leak che hanno esposto centinaia di migliaia di informazioni sensibili di cittadini e az...
Red Hot Cyber, come ogni anno all’interno della RHC Conference, ospiterà la nuova Capture The Flag realizzata in collaborazione con CyberSecurityUP e Hackmageddon e Fondazione Bruno Kessle...
Su BreachForum un utente dallo pseudonimo BoZar45, con un post pubblicato il 6 marzo 2025, proporne in vendita accessi VPN e amministrativi a firewall di aziende, enti governativi e militari. I prezzi...
Negli ultimi giorni, un utente del forum underground “BreachForums” ha pubblicato un annuncio riguardante la presunta vendita di accessi a caselle di posta elettronica appartenenti al Mi...
Negli Stati Uniti è stata individuata una nuova frode: i criminali inviano false richieste di riscatto via posta per conto del gruppo BianLian. Le buste indicano che il mittente è “BI...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
