Une vulnérabilité dans le pare-feu Sophos, découverte pour la première fois fin mars et corrigée peu de temps après, était exploitée par une menace persistante avancée chinoise (APT), dans les semaines précédant la publication du correctif, ont révélé des rapports.
Des chercheurs de la société de cybersécurité Volexity, l’acteur de la menace, connu sous le nom de DriftingCloud, exploitent le CVE-2022-1040 depuis début mars, contre un certain nombre d’entités anonymes. Il l’a utilisé pour contourner l’authentification et exécuter du code arbitraire sur les terminaux des victimes. La faille affecte le portail utilisateur et l’administrateur Web de Sophos Firewall, et les acteurs de la menace ont réussi à installer des portes dérobées Webshell et d’autres logiciels malveillants.
Au moment de la découverte, la compromission était toujours active et l’acteur de la menace se déplaçait toujours sur le réseau, donnant aux chercheurs un aperçu unique du fonctionnement d’un APT. La conclusion de cette observation est que le groupe était « sophistiqué » et qu’il a fait un vaillant effort pour ne pas être détecté.
Logiciel malveillant de deuxième étape
Entre autres choses, le groupe a mélangé son trafic en accédant au webshell installé via des requêtes au fichier légitime « login.jps », a rapporté BleepingComputer.
« À première vue, cela peut sembler être une tentative de connexion par force brute au lieu d’une interaction avec une porte dérobée. Les seuls éléments réels qui sortaient de l’ordinaire dans les fichiers journaux étaient les valeurs de référence et les codes d’état de réponse », a expliqué Volexity dans sa rédaction.
Après avoir accédé au réseau cible, l’auteur de la menace a décidé d’installer trois familles de logiciels malveillants distinctes : PupyRAT, Pantegana et Sliver. Tous les trois sont utilisés pour l’accès à distance et sont accessibles au public.
Le correctif pour CVE-2022-1040 est disponible depuis des mois maintenant, et les utilisateurs sont invités à le corriger immédiatement, étant donné que son score de gravité est de 9,8.
Ce fut un trimestre chargé pour l’équipe Sophos, qui a récemment corrigé deux vulnérabilités de gravité élevée dans les appliances Sophos Unified Threat Management : CVE-2022-0386 et CVE-2022-0652.
Sophos est un développeur de logiciels de cybersécurité et de sécurité réseau basé au Royaume-Uni, qui se concentre principalement sur les logiciels de sécurité pour les organisations comptant jusqu’à 5 000 employés. Elle a été fondée en 1985, mais s’est tournée vers la cybersécurité à la fin des années 1990.
En 2019, il a été acquis par la société de capital-investissement américaine Thoma Bravo, pour environ 3,9 milliards de dollars (7,40 $ par action).
Via : BleepingComputer (s’ouvre dans un nouvel onglet)