Μερικά firewall προϊόντα της Sophos δέχθηκαν επίθεση από το νέο Trojan malware, το οποίο ονομάστηκε Asnarök από τους ερευνητές της Sophos, που είχε ως στόχο να κλέψει ονόματα χρηστών και hashed κωδικούς πρόσβασης ξεκινώντας από τις 22 Απριλίου σύμφωνα με επίσημο χρονοδιάγραμμα.
Το malware εκμεταλλεύεται μια ευπάθεια zero-day SQL injection που μπορεί να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα σε διάφορα firewall.
“Αυτή η επίθεση στοχεύει τα προϊόντα της Sophos και προφανώς προοριζόταν να κλέψει ευαίσθητες πληροφορίες από τα firewall.” ανέφερε η Sophos.
Το payload του Asnarök malware «κατέβηκε» για να επιτεθεί σε συσκευές firewall με τη μορφή πολλαπλών shell scrips Linux μετά την εκμετάλλευση της ευπάθειας εκτέλεσης απομακρυσμένου κώδικα zero-day SQL injection.
Το exploit που χρησιμοποιήθηκε για τη λήψη του ωφέλιμου φορτίου “έριξε” επίσης ένα shell script που έκανε το malware installer script εκτελέσιμο και το λάνσαρε σε compromised συσκευές.
Το Asnarök “τροποποίησε επίσης τις υπηρεσίες για να διασφαλίσει ότι έτρεχε κάθε φορά που το firewall θα έκανε εκκίνηση – χρησίμευσε ως ένας κυκλικός μηχανισμός επιμονής για το malware”, σύμφωνα με την ανάλυση της Sophos.
Το Asnarök κλέβει firewall credentials
Όπως ανακάλυψαν οι ερευνητές κατά την εξέταση του Trojan, το malware έχει σχεδιαστεί ειδικά για τη συλλογή και την απομάκρυνση των ονομάτων χρήστη και των κωδικών πρόσβασης του firewall, καθώς και για ορισμένες πληροφορίες συστήματος.
Η Sophos είπε ότι τα credentials που σχετίζονται με εξωτερικά συστήματα ελέγχου ταυτότητας, όπως οι υπηρεσίες Active Directory και το LDAP, δεν εκτέθηκαν και δεν ήταν στόχος του Asnarök.
Επιπλέον, η Sophos δεν έχει καμία απόδειξη ότι κανένα από τα δεδομένα που συλλέχθηκαν από τους επιτιθέμενους με τη βοήθεια του Trojan Asnarök είχε εξαχθεί με επιτυχία.
Το malware μπορεί να συλλέξει τις παρακάτω πληροφορίες του firewall:
- Την άδεια και τον σειριακό αριθμό του firewall
- Μια λίστα με τις διευθύνσεις email των λογαριασμών των χρηστών που είχαν αποθηκευτεί στη συσκευή, ακολουθούμενη από το κύριο email που ανήκει στον λογαριασμό διαχειριστή του firewall
- Τα ονόματα των χρηστών του firewall, τα ονόματα χρήστη, την κρυπτογραφημένη μορφή των κωδικών πρόσβασης και το SHA256 hash του κωδικού πρόσβασης του λογαριασμού διαχειριστή. Οι κωδικοί πρόσβασης δεν αποθηκεύτηκαν σε απλό κείμενο.
- Μια λίστα με τα αναγνωριστικά χρήστη που επιτρέπεται να χρησιμοποιούν το firewall για SSL VPN και λογαριασμούς στους οποίους επιτρέπεται η χρήση σύνδεσης clientless VPN.
Το Asnarök ερωτά επίσης την εσωτερική βάση δεδομένων των μολυσμένων firewall για τη συλλογή πληροφοριών σχετικά με την έκδοση του λειτουργικού συστήματος, το ποσό της μνήμης RAM και της CPU, τις πληροφορίες χρόνου λειτουργίας και τα δικαιώματα εκχώρησης διευθύνσεων IP των χρηστών μεταξύ άλλων.
Όλα τα δεδομένα γράφονται σε ένα αρχείο Info.xg, αρχειοθετούνται, κρυπτογραφούνται και στη συνέχεια αποστέλλονται σε servers που ελέγχονται από τους εισβολείς.
Οι πελάτες ειδοποιούνται εάν οι συσκευές τους είχαν παραβιαστεί
Η Sophos απέκλεισε τα domain που χρησιμοποίησε το Asnarök στις 22 Απριλίου και στις 23 Απριλίου και κυκλοφόρησε τις επιδιορθώσεις στις συσκευές firewall που επηρεάστηκαν στις 23 Απριλίου και στις 24 Απριλίου.
Η τελική ενημέρωση ασφαλείας για την ευπάθεια zero day του XG Firewall ήταν έτοιμη μέχρι το απόγευμα της 25ης Απριλίου, όταν η Sophos άρχισε να την κυκλοφορεί σε όλες τις μονάδες XG Firewall με ενεργοποιημένη την αυτόματη ενημέρωση.
Οι πελάτες που δεν έχουν ενεργοποιήσει την αυτόματη ενημέρωση στα firewall μπορούν να ακολουθήσουν αυτές τις οδηγίες για να εγκαταστήσουν χειροκίνητα την επείγουσα επιδιόρθωση.
Η Sophos θα εμφανίζει αυτόματα ειδοποιήσεις στο management interface των XG Firewall για να ενημερώσει τους πελάτες εάν οι μονάδες τους είχαν παραβιαστεί ή όχι.
Εάν ειδοποιηθείτε ότι η συσκευή σας μολύνθηκε, η Sophos συνιστά να λάβετε τα ακόλουθα πρόσθετα μέτρα για να βεβαιωθείτε ότι το firewall είναι πλήρως ασφαλές:
1. Επαναφορά λογαριασμών διαχειριστή portal και διαχειριστή συσκευής
2. Επανεκκινήστε τις συσκευές XG
3. Επαναφέρετε τους κωδικούς πρόσβασης για όλους τους local λογαριασμούς χρηστών
4. Παρόλο που οι κωδικοί πρόσβασης είχαν γίνει hashed, συνιστάται η επαναφορά των κωδικών πρόσβασης για λογαριασμούς όπου ενδέχεται να έχουν επαναχρησιμοποιηθεί τα XG credentials
