Πέμπτη, 28 Μαΐου, 22:44
Αρχική security Asnarök malware: Επιτίθεται σε firewall της Sophos και κλέβει credentials

Asnarök malware: Επιτίθεται σε firewall της Sophos και κλέβει credentials

Μερικά firewall προϊόντα της Sophos δέχθηκαν επίθεση από το νέο Trojan malware, το οποίο ονομάστηκε Asnarök από τους ερευνητές της Sophos, που είχε ως στόχο να κλέψει ονόματα χρηστών και hashed κωδικούς πρόσβασης ξεκινώντας από τις 22 Απριλίου σύμφωνα με επίσημο χρονοδιάγραμμα.

Το malware εκμεταλλεύεται μια ευπάθεια zero-day SQL injection που μπορεί να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα σε διάφορα firewall.

“Αυτή η επίθεση στοχεύει τα προϊόντα της Sophos και προφανώς προοριζόταν να κλέψει ευαίσθητες πληροφορίες από τα firewall.” ανέφερε η Sophos.

firewall Sophos

Το payload του Asnarök malware  «κατέβηκε» για να επιτεθεί σε συσκευές firewall με τη μορφή πολλαπλών shell scrips Linux μετά την εκμετάλλευση της ευπάθειας εκτέλεσης απομακρυσμένου κώδικα zero-day SQL injection.

Το exploit που χρησιμοποιήθηκε για τη λήψη του ωφέλιμου φορτίου “έριξε” επίσης ένα shell script που έκανε το malware installer script εκτελέσιμο και το λάνσαρε σε compromised συσκευές.

Το Asnarök “τροποποίησε επίσης τις υπηρεσίες για να διασφαλίσει ότι έτρεχε κάθε φορά που το firewall θα έκανε εκκίνηση – χρησίμευσε ως ένας κυκλικός μηχανισμός επιμονής για το malware”, σύμφωνα με την ανάλυση της Sophos.

Το Asnarök κλέβει firewall credentials

Όπως ανακάλυψαν οι ερευνητές κατά την εξέταση του Trojan, το malware έχει σχεδιαστεί ειδικά για τη συλλογή και την απομάκρυνση των ονομάτων χρήστη και των κωδικών πρόσβασης του firewall, καθώς και για ορισμένες πληροφορίες συστήματος.

Η Sophos είπε ότι τα credentials που σχετίζονται με εξωτερικά συστήματα ελέγχου ταυτότητας, όπως οι υπηρεσίες Active Directory και το LDAP, δεν εκτέθηκαν και δεν ήταν στόχος του Asnarök.

Επιπλέον, η Sophos δεν έχει καμία απόδειξη ότι κανένα από τα δεδομένα που συλλέχθηκαν από τους επιτιθέμενους με τη βοήθεια του Trojan Asnarök είχε εξαχθεί με επιτυχία.

Το malware μπορεί να συλλέξει τις παρακάτω πληροφορίες του firewall:

  • Την άδεια και τον σειριακό αριθμό του firewall
  • Μια λίστα με τις διευθύνσεις email των λογαριασμών των χρηστών που είχαν αποθηκευτεί στη συσκευή, ακολουθούμενη από το κύριο email που ανήκει στον λογαριασμό διαχειριστή του firewall
  • Τα ονόματα των χρηστών του firewall, τα ονόματα χρήστη, την κρυπτογραφημένη μορφή των κωδικών πρόσβασης και το SHA256 hash του κωδικού πρόσβασης του λογαριασμού διαχειριστή. Οι κωδικοί πρόσβασης δεν αποθηκεύτηκαν σε απλό κείμενο.
  • Μια λίστα με τα αναγνωριστικά χρήστη που επιτρέπεται να χρησιμοποιούν το firewall για SSL VPN και λογαριασμούς στους οποίους επιτρέπεται η χρήση σύνδεσης clientless VPN.

Το Asnarök ερωτά επίσης την εσωτερική βάση δεδομένων των μολυσμένων firewall για τη συλλογή πληροφοριών σχετικά με την έκδοση του λειτουργικού συστήματος, το ποσό της μνήμης RAM και της CPU, τις πληροφορίες χρόνου λειτουργίας και τα δικαιώματα εκχώρησης διευθύνσεων IP των χρηστών μεταξύ άλλων.

Όλα τα δεδομένα γράφονται σε ένα αρχείο Info.xg, αρχειοθετούνται, κρυπτογραφούνται και στη συνέχεια αποστέλλονται σε servers που ελέγχονται από τους εισβολείς.

Οι πελάτες ειδοποιούνται εάν οι συσκευές τους είχαν παραβιαστεί

Η Sophos απέκλεισε τα domain που χρησιμοποίησε το Asnarök στις 22 Απριλίου και στις 23 Απριλίου και κυκλοφόρησε τις επιδιορθώσεις στις συσκευές firewall που επηρεάστηκαν στις 23 Απριλίου και στις 24 Απριλίου.

Η τελική ενημέρωση ασφαλείας για την ευπάθεια zero day του XG Firewall ήταν έτοιμη μέχρι το απόγευμα της 25ης Απριλίου, όταν η Sophos άρχισε να την κυκλοφορεί σε όλες τις μονάδες XG Firewall με ενεργοποιημένη την αυτόματη ενημέρωση.

Οι πελάτες που δεν έχουν ενεργοποιήσει την αυτόματη ενημέρωση στα firewall μπορούν να ακολουθήσουν αυτές τις οδηγίες για να εγκαταστήσουν χειροκίνητα την επείγουσα επιδιόρθωση.

Η Sophos θα εμφανίζει αυτόματα ειδοποιήσεις στο management interface των XG Firewall για να ενημερώσει τους πελάτες εάν οι μονάδες τους είχαν παραβιαστεί ή όχι.

Εάν ειδοποιηθείτε ότι η συσκευή σας μολύνθηκε, η Sophos συνιστά να λάβετε τα ακόλουθα πρόσθετα μέτρα για να βεβαιωθείτε ότι το firewall είναι πλήρως ασφαλές:

1. Επαναφορά λογαριασμών διαχειριστή portal και διαχειριστή συσκευής

2. Επανεκκινήστε τις συσκευές XG

3. Επαναφέρετε τους κωδικούς πρόσβασης για όλους τους local λογαριασμούς χρηστών

4. Παρόλο που οι κωδικοί πρόσβασης είχαν γίνει hashed, συνιστάται η επαναφορά των κωδικών πρόσβασης για λογαριασμούς όπου ενδέχεται να έχουν επαναχρησιμοποιηθεί τα XG credentials

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Οι αναβαθμίσεις και τα νέα χαρακτηριστικά των Windows 10 2004!

Από σήμερα ξεκίνησε η κυκλοφορία της νέας ενημερωμένης έκδοσης των Windows 10, γνωστή ως "Windows 10 2004" ή "Windows 10 May 2020",...

Ποιες είναι οι αγαπημένες γλώσσες προγραμματισμού για το 2020;

Το Stack Overflow, ένα από τα μεγαλύτερα sites για programming Q&A, ανακοίνωσε τα αποτελέσματα από το Developer...

Η γερμανική κυβέρνηση προτρέπει τους χρήστες του iOS να διορθώσουν τα κρίσιμα ελαττώματα της εφαρμογής Mail

Η γερμανική ομοσπονδιακή υπηρεσία ασφάλειας στον κυβερνοχώρο προέτρεψε σήμερα τους χρήστες iOS να εγκαταστήσουν αμέσως τις ενημερώσεις ασφαλείας iOS και iPadOS που...

Instagram: Ενίσχυση εισοδήματος δημιουργών με διαφημίσεις στο IGTV

To Instagram φέρνει διαφημίσεις και στο IGTV, με το 55% των εσόδων να διατίθεται στους δημιουργούς. Το μέσο κοινωνικής δικτύωσης έκανε την...

Τα Windows 10 2004 συνοδεύονται από υποστήριξη Wi-Fi 6 και WPA3

Η Microsoft ανακοίνωσε ότι τα Windows 10, έκδοση 2004 συνοδεύονται από υποστήριξη Wi-Fi 6 και WPA3 για gigabit ταχύτητες και καλύτερη απόδοση,...

Το CoreOS Container Linux της Red Hat φτάνει στο τέλος του

Όπως ανακοινώθηκε πρόσφατα από τον Benjamin Gilbert, τεχνικό του Fedora CoreOS, η υποστήριξη του CoreOS Container Linux,...

Ο Donald Trump απειλεί να κλείσει τις πλατφόρμες κοινωνικής δικτύωσης

Όπως δήλωσε σε ένα πρόσφατο tweet του, ο Πρόεδρος των ΗΠΑ Donald Trump, σκοπεύει να αλλάξει τον...

Αγωγή στη Google για τις πρακτικές παρακολούθησης χρηστών

Η Google δέχτηκε μια αγωγή από τον γενικό εισαγγελέα της Αριζόνα, Mark Brnovich, σχετικά με τις πρακτικές...

Michigan State University: Δέχτηκε ransomware επίθεση!

Οι hackers που βρίσκονται πίσω από το NetWalker ransomware, γνωστό και ως Mailto, ανακοίνωσαν ότι έχουν μολύνει...

Linux Kodachi: Κυκλοφόρησε η έκδοση v7.0 με πολλές νέες εφαρμογές

Πρόσφατα, κυκλοφόρησε η νέα έκδοση του Linux Kodachi. Αν και δεν είναι αρκετά γνωστό, το λειτουργικό αυτό...